Los actores de amenaza de Corea del Septentrión detrás de la campaña de entrevistas contagiosas en curso están difundiendo sus tentáculos en el ecosistema NPM publicando más paquetes maliciosos que entregan el malware Beaverail, así como un nuevo cargador de troyano de llegada remoto (RAT).
“Estas últimas muestras emplean la codificación de cadenas hexadecimales para eludir los sistemas de detección automatizados y las auditorías de código manual, lo que indica una variación en las técnicas de obstrucción de los actores de amenazas”, dijo el investigador de seguridad Kirill Boychenko en un referencia.
Los paquetes en cuestión, que se descargaron colectivamente más de 5,600 veces ayer de su aniquilación, se enumeran a continuación –
- validador de matriz vacía
- Twitterapis
- Dev-debgger-vite
- ronquido
- Núcleo -ino
- eventos-UTILS
- código de icloud
- cloque
- clog de nodo
- consolidate-log
- consolidate-legger
La divulgación se produce casi un mes luego de que se descubrieron un conjunto de seis paquetes NPM distribuyendo Beaverail, un robador de JavaScript que incluso es capaz de entregar una puerta trasera basada en Python denominada InvisibleFerret.
El objetivo final de la campaña es infiltrarse en los sistemas de desarrolladores bajo la apariencia de un proceso de entrevista de trabajo, robar datos confidenciales, los activos financieros de sifón y persistir el llegada a holgado plazo a los sistemas comprometidos.
Las bibliotecas de NPM recientemente identificadas se disfrazan de servicios públicos y depugadores, con una de ellas, Dev-DeBugger-Vite, utilizando una dirección de comando y control (C2) previamente marcada por SecurityScorecard, según lo utilizado por el Comunidad Lázaro en un circuito Phantom de campaña en un Circuito Phantom en diciembre de 2024.
Lo que hace que estos paquetes se destaquen es que algunos de ellos, como eventos-utilos y iCloud-cod, están vinculados a los repositorios de Bitbucket, en circunscripción de GitHub. Encima, se ha incompatible que el paquete iCloud-Cod está alojado internamente de un directorio llamado “Eiwork_hire”, reiterando el uso del actor de la amenaza de temas relacionados con la entrevista para activar la infección.
Un estudio de los paquetes, CLN-Logger, Node-Clog, Consolidate-Log y Consolidate-Logger, incluso ha descubierto variaciones menores a nivel de código, lo que indica que los atacantes están publicando múltiples variantes de malware en un intento por aumentar la tasa de éxito de la campaña.
Independientemente de los cambios, el código astuto incrustado internamente de los cuatro paquetes funciona como un cargador de troyano de llegada remoto (rata) que es capaz de propagar una carga útil de la próxima etapa desde un servidor remoto.
“Los actores de amenaza de entrevista contagiosos continúan creando nuevas cuentas de NPM y desplegan código astuto en plataformas como el Registro de NPM, GitHub y Bitbucket, demostrando su persistencia y no muestra signos de desaceleración”, dijo Boychenko.
“El orden reformista de amenaza persistente (APT) está diversificando sus tácticas: propagar un nuevo malware con seudónimo frescas, alojando cargas aperos en repositorios de Github y Bitbucket, y reutilizando componentes centrales como Beaveavail e InvisibleFerret próximo con la transformación de rata/cargador recién observada”.
Beavertail gots Tropidoor
El descubrimiento de los nuevos paquetes NPM se produce cuando la compañía de seguridad cibernética de Corea del Sur, AhnLab, detalló una campaña de phishing con temática de reemplazo que ofrece Beaverail, que luego se usa para implementar una transmisión en código de Backdoor de Windows previamente indocumentada. Los artefactos analizados por la firma muestran que Beaverail se está utilizando para atacar activamente a los desarrolladores en Corea del Sur.
El mensaje de correo electrónico, que afirmaba ser de una compañía convocatoria AutoSquare, contenía un enlace a un tesina alojado en Bitbucket, instando al destinatario a clonar el tesina localmente en su máquina para revisar su comprensión del software.
La aplicación no es más que una biblioteca NPM que contiene Beaverail (“TailWind.Config.js”) y un malware DLL Downloader (“Car.dll”), el posterior de los cuales es resuelto por JavaScript Stealer y cargador.
Tropidoor es una puerta trasera “que funciona en la memoria a través del descargador” que es capaz de contactar a un servidor C2 para aceptar instrucciones que permiten exfiltrar archivos, resumir información de dispositivo y archivos, ejecutar y terminar procesos, capturar capturas de pantalla y eliminar o borrar archivos sobrevisurados con datos nulos o basura.
Un aspecto importante del implante es que implementa directamente los comandos de Windows, como Schtasks, Ping y Reg, una característica previamente incluso observada en otro malware del orden Lázaro llamado LightlessCan, en sí mismo un sucesor de BlindingCan (incluso conocido como Airdry, incluso conocido como Zetanile).
“Los usuarios deben ser cautelosos no solo con los archivos adjuntos de correo electrónico sino incluso con archivos ejecutables de fuentes desconocidas”, dijo Ahnlab.
