与朝鲜有关的威胁行为者Moonstone Sleet持续将恶意 npm 包推送到 JavaScript 包注册表,目的是感染 Windows 系统,这凸显了其活动的持久性。
据 Datadog 安全实验室称,有问题的软件包harthat-api和harthat-hash于 2024 年 7 月 7 日发布。这两个库都没有吸引任何下载,并在短暂一段时间后被撤下。
该云监控公司的安全部门正在追踪名为 Stressed Pungsan 的威胁行为者,其与新发现的朝鲜恶意活动集群 Moonstone Sleet 有重叠。
Datadog 研究人员 Sebastian Obregoso 和 Zack Allen表示: “虽然名称类似于Hardhat npm 软件包(以太坊开发实用程序),但其内容并未表明有任何抢注意图。” “该恶意软件包重用了来自著名 GitHub 存储库node-config的代码,该存储库拥有超过 6,000 个 star 和 500 个 fork,在 npm 中称为 config。”
据了解,敌对团体精心策划的攻击链会通过 LinkedIn 以虚假的公司名称或自由职业网站传播虚假的 ZIP 存档文件,诱使潜在目标执行下一阶段的有效载荷,即调用 npm 包作为所谓的技术技能评估的一部分。
微软在 2024 年 5 月指出: “加载时,恶意软件包使用 curl 连接到行为者控制的 IP,并投放 SplitLoader 等其他恶意负载。”“在另一起事件中,Moonstone Sleet 提供了一个恶意的 npm 加载器,导致 LSASS 凭证被窃取。”
Checkmarx 后续调查结果还显示,Moonstone Sleet 也一直试图通过 npm 注册表传播他们的软件包。
新发现的软件包旨在运行 package.json 文件中指定的预安装脚本,该脚本会检查其是否在 Windows 系统(“Windows_NT”)上运行,然后联系外部服务器(“142.111.77[.]196”)下载使用 rundll32.exe 二进制文件侧载的 DLL文件。
而恶意 DLL 本身并没有执行任何恶意操作,这表明它要么是对其有效载荷传递基础设施进行了试运行,要么是在将恶意代码嵌入到注册表之前被无意中推送到注册表的。
与此同时,韩国国家网络安全中心 (NCSC)警告称,朝鲜威胁组织Andariel和Kimsuky发起的网络攻击旨在传播 Dora RAT 和 TrollAgent(又名 Troll Stealer)等恶意软件,作为针对韩国建筑和机械行业的入侵活动的一部分。
Dora RAT攻击序列值得注意的是,Andariel黑客利用了国内VPN软件的软件更新机制漏洞进行传播。
原文始发于微信公众号(独眼情报):朝鲜黑客 Moonstone Sleet 将恶意 JS 包推送至 npm Registry
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论