朝鲜黑客利用恶意npm包攻击开发者

admin 2024年9月26日13:15:38评论81 views字数 1492阅读4分58秒阅读模式

朝鲜黑客利用恶意npm包攻击开发者聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Phylum 公司提到,和朝鲜存在关联的威胁行动者在npm注册表中发布恶意包,以“协同方式、坚持不懈地”通过恶意软件感染开发人员并窃取密币资产。

这起事件发生在8月12至27日之间,涉及的程序包包括 temp-ethersca-api、ethersscan-api、telegram-con、helmet-validate和qq-console。该公司提到,“该攻击中的行为导致我们认为 qq-console 可关联至朝鲜的攻击活动 ‘Contagious Interview(传染面试)’。”

Contagious Interview 旨在工作面试中诱骗受害者下载npm恶意包或针对视频会议软件的虚假安装器,来窃取他们的信息。该攻击的最终目标是部署 Python payload InvisibleFerret,从密币钱包浏览器扩展中提取敏感数据并通过使用合法远程桌面软件如AnyDesk的主机设立可持久性。CrowdStrike 公司正在追踪代号为 “Famous Chollima” 的活动。

新发现的 helmet-validate 包采用了新方法,嵌入JavaScript 代码文件 config.js,通过 eval() 函数直接执行托管在远程域名 (“ipcheck[.]cloud”)上的JavaScript。

该公司提到二者之间的关联时表示,“调查显示,ipcheck[.]cloud解析到IP地址(167[.]88[.]36[.]13),而这也正是 mirotalk[.]net 在线时所解析的地址。”该公司提到,还发现在8月27日上传的另外一个包 sass-notification,它与此前发现的npm库如 call-blockflow 之间存在相似性。这些包与朝鲜的另外一个威胁组织 Moonstone Sleet 有关。

该公司提到,“这些攻击利用混淆后的 JavaScript 写并执行 batch 和 PowerShell 脚本。这些脚本下载并解密远程payload,将其以 DLL 形式执行,之后试图清理所有恶意活动的迹象,在受害者机器上留下看似良性的程序包。”

Famous Chollima 伪装成美国企业的IT员工

这份最新披露正值 CrowdStrike 公司将 Famous Chollima和内部威胁行动(以合法雇佣为幌子渗透企业环境)关联在一起。

该公司提到,“Famous Chollima 通过获得合同或全职职位执行这些操作,他们利用虚假或被盗身份文档来绕过背景调查。他们申请工作时,这些恶意内部人员就会提交一份简历,一般会列出在一家名企以及其它不太知名企业的就职经历且不会有空档期。”

虽然这些攻击主要受利益驱动,但其中一些据称涉及敏感信息的提取。CrowdStrike 公司表示已发现威胁行动者们在过去一年中申请或活跃就职的企业超过100家,多数企业位于美国、沙特阿拉伯、法国、菲律宾、乌克兰等。涉及的行业包括技术、金融技术、金融服务、专业服务、零售、交通、制造业、保险、医药、社交媒体和媒体公司等。

研究人员提到,“获得对受害者网络的员工级别访问权限后,内部人员执行与工作职责相关的最小任务。在某些情况下他们还尝试通过 Git、SharePoint 和 OneDrive 提取数据。另外,他们还安装了如下 RMM 工具:RustDesk、AnyDesk、TinyPilot、VS Code Dev Tunnels和 Google Chrome Remote Desktop。之后通过公司网络凭据来利用这些工具,将大量IP地址与受害者系统进行连接。”

原文始发于微信公众号(代码卫士):朝鲜黑客利用恶意npm包攻击开发者

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月26日13:15:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜黑客利用恶意npm包攻击开发者https://cn-sec.com/archives/3115332.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息