Nordkoreanische Hacker verbreiten Malware über npm-Pakete

SEOUL / MÜNCHEN (IT BOLTWISE) – Nordkoreanische Hackergruppen, bekannt für ihre ausgeklügelten Cyberangriffe, haben erneut zugeschlagen. Diesmal zielen sie auf die npm-Plattform ab, um schädliche Software zu verbreiten.

Nordkoreanische Hacker, die hinter der laufenden Kampagne ‘Contagious Interview’ stehen, haben ihre Aktivitäten auf das npm-Ökosystem ausgeweitet. Sie veröffentlichen bösartige Pakete, die die Malware BeaverTail sowie einen neuen Remote-Access-Trojaner (RAT) Loader verbreiten. Diese neuesten Proben verwenden hexadezimale Zeichenfolgenkodierung, um automatisierte Erkennungssysteme und manuelle Codeüberprüfungen zu umgehen, was auf eine Variation der Verschleierungstechniken der Bedrohungsakteure hinweist, so der Sicherheitsforscher Kirill Boychenko von Socket.

Die betroffenen Pakete, die vor ihrer Entfernung mehr als 5.600 Mal heruntergeladen wurden, umfassen unter anderem ’empty-array-validator’, ‘twitterapis’ und ‘dev-debugger-vite’. Diese Offenlegung erfolgt fast einen Monat, nachdem eine Reihe von sechs npm-Paketen entdeckt wurde, die BeaverTail verbreiten, einen JavaScript-Stealer, der auch in der Lage ist, eine Python-basierte Hintertür namens InvisibleFerret zu liefern.

Das Endziel der Kampagne ist es, Entwickler-Systeme unter dem Vorwand eines Vorstellungsgesprächs zu infiltrieren, sensible Daten zu stehlen, finanzielle Vermögenswerte abzuziehen und langfristigen Zugang zu kompromittierten Systemen zu erhalten. Die neu identifizierten npm-Bibliotheken tarnen sich als Dienstprogramme und Debugger, wobei eines von ihnen – ‘dev-debugger-vite’ – eine Command-and-Control-Adresse (C2) verwendet, die zuvor von SecurityScorecard als von der Lazarus-Gruppe in einer Kampagne namens Phantom Circuit im Dezember 2024 genutzt markiert wurde.

Einige dieser Pakete, wie ‘events-utils’ und ‘icloud-cod’, sind mit Bitbucket-Repositories verknüpft, im Gegensatz zu GitHub. Darüber hinaus wurde festgestellt, dass das Paket ‘icloud-cod’ in einem Verzeichnis namens ‘eiwork_hire’ gehostet wird, was die Verwendung von interviewbezogenen Themen durch die Bedrohungsakteure zur Aktivierung der Infektion unterstreicht.

Eine Analyse der Pakete ‘cln-logger’, ‘node-clog’, ‘consolidate-log’ und ‘consolidate-logger’ hat auch geringfügige Code-Variationen aufgedeckt, was darauf hindeutet, dass die Angreifer mehrere Malware-Varianten veröffentlichen, um die Erfolgsquote der Kampagne zu erhöhen. Unabhängig von den Änderungen fungiert der bösartige Code in den vier Paketen als RAT-Loader, der in der Lage ist, eine nächste Stufe der Nutzlast von einem Remote-Server zu propagieren.

Die Bedrohungsakteure der ‘Contagious Interview’-Kampagne erstellen weiterhin neue npm-Konten und verbreiten bösartigen Code auf Plattformen wie dem npm-Registry, GitHub und Bitbucket, was ihre Hartnäckigkeit zeigt und keine Anzeichen einer Verlangsamung erkennen lässt, so Boychenko. Die Advanced Persistent Threat (APT)-Gruppe diversifiziert ihre Taktiken – veröffentlicht neue Malware unter neuen Aliasen, hostet Nutzlasten sowohl in GitHub- als auch in Bitbucket-Repositories und verwendet Kernkomponenten wie BeaverTail und InvisibleFerret zusammen mit neu beobachteten RAT/Loader-Varianten.

Die Offenlegung erfolgt, während das südkoreanische Cybersicherheitsunternehmen AhnLab eine rekrutierungsbezogene Phishing-Kampagne detailliert beschreibt, die BeaverTail liefert, das dann verwendet wird, um eine zuvor undokumentierte Windows-Hintertür namens Tropidoor bereitzustellen. Artefakte, die von der Firma analysiert wurden, zeigen, dass BeaverTail aktiv darauf abzielt, Entwickler in Südkorea anzugreifen.

Die E-Mail-Nachricht, die vorgab, von einem Unternehmen namens AutoSquare zu stammen, enthielt einen Link zu einem auf Bitbucket gehosteten Projekt und forderte den Empfänger auf, das Projekt lokal auf seinem Rechner zu klonen, um sein Verständnis des Programms zu überprüfen. Die Anwendung ist nichts anderes als eine npm-Bibliothek, die BeaverTail (‘tailwind.config.js’) und eine DLL-Downloader-Malware (‘car.dll’) enthält, wobei letztere vom JavaScript-Stealer und Loader gestartet wird.

Tropidoor ist eine Hintertür, die ‘im Speicher durch den Downloader operiert’ und in der Lage ist, einen C2-Server zu kontaktieren, um Anweisungen zu erhalten, die es ermöglichen, Dateien zu exfiltrieren, Laufwerks- und Dateiinformationen zu sammeln, Prozesse zu starten und zu beenden, Screenshots zu erfassen und Dateien zu löschen oder zu überschreiben, indem sie mit NULL oder Junk-Daten überschrieben werden. Ein wichtiger Aspekt des Implantats ist, dass es direkt Windows-Befehle wie schtasks, ping und reg implementiert, ein Merkmal, das zuvor auch in einer anderen Malware der Lazarus-Gruppe namens LightlessCan beobachtet wurde, die selbst ein Nachfolger von BLINDINGCAN (auch bekannt als AIRDRY oder ZetaNile) ist.

Benutzer sollten nicht nur bei E-Mail-Anhängen, sondern auch bei ausführbaren Dateien aus unbekannten Quellen vorsichtig sein, warnt AhnLab. Diese Entwicklungen unterstreichen die anhaltende Bedrohung durch nordkoreanische Hackergruppen und die Notwendigkeit erhöhter Wachsamkeit und Sicherheitsmaßnahmen in der Entwicklergemeinschaft.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.997 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen