Новое наступление предполагаемых северокорейских хакерских групп направлено на сообщество разработчиков программного обеспечения с открытым исходным кодом с помощью серии вредоносных пакетов, загруженных в репозиторий npm.
Атаки, выявленные компанией Phylum, специализирующейся на кибербезопасности, используют множество методов и, похоже, предназначены для кражи криптовалюты и конфиденциальных данных у ничего не подозревающих разработчиков.
Кампания началась 12 августа и включает в себя несколько различных шаблонов публикаций и типов атак, что позволяет предположить участие нескольких групп или скоординированные усилия с общими целями.
«Эти атаки характеризуются многоступенчатым обфусцированным JavaScript, который загружает дополнительные компоненты вредоносного ПО с удаленных серверов, - поясняет Phylum.
Эти компоненты, включающие скрипты Python и даже полноценный интерпретатор Python, систематически проверяют зараженные машины на наличие криптовалютных кошельков и другой конфиденциальной информации, а затем пытаются вывести эти данные».
Phylum выделяет три различных вектора атак, использованных в этой кампании, связывая некоторые из них с ранее выявленными северокорейскими операциями:
Заразительное интервью: Такие пакеты, как «temp-etherscan-api», «ethersscan-api» и «qq-console», демонстрируют поведение, соответствующее кампании «Contagious Interview», ранее замеченной в феврале и июне этого года.
Фальшивые вакансии: Пакет «helmet-validate» напрямую выполняет код с сервера, связанного с доменом «mirotalk[.]net», который ранее использовался в мошенничестве с поддельными объявлениями о вакансиях, приписываемом северокорейским актерам.
Moonstone Sleet: Пакет «sass-notification» использует обфусцированный JavaScript для развертывания вредоносной полезной нагрузки, что повторяет методы кампании «Moonstone Sleet», о которой Phylum сообщал в ноябре 2023 и июле 2024 года.
Сроки публикации:
«Разнообразие и одновременное развертывание этих векторов атак свидетельствует о скоординированной и неустанной кампании со стороны угроз, связанных с Северной Кореей», - предупреждает Phylum.
Эта последняя волна атак подчеркивает постоянную угрозу цепочкам поставок программного обеспечения, особенно тем, которые зависят от репозиториев с открытым исходным кодом, таких как npm. Угрожающие лица продолжают использовать доверие, присущее этим экосистемам, для нападения на разработчиков, что может поставить под угрозу бесчисленное множество последующих пользователей».
73Исследователь безопасности из компании SafeBreach Алон Левиев выпустил инструмент Windows Downdate, который можно использовать для атак на понижение версии, возвращающих старые уязвимости в современные системы Windows 10, Windows 11 и Windows Server.
44Приложение для обмена мгновенными сообщениями Pidgin удалило плагин ScreenShareOTR из своего официального списка сторонних плагинов после того, как было обнаружено, что он используется для установки кейлоггеров, похитителей информации и вредоносных программ, обычно применяемых для получения первоначального доступа к корпоративным сетям.
34Компания Microsoft расследует проблему ложного срабатывания Exchange Online, из-за которой электронные письма, содержащие изображения, ошибочно помечаются как вредоносные и отправляются в карантин.
31Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии