Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

Целью группы является компрометация систем разработчиков, кража конфиденциальных данных и финансовых активов. Они продолжают создавать новые учетные записи npm и распространять вредоносный код на различных платформах, включая GitHub и Bitbucket.

Вредоносные пакеты, опубликованные злоумышленниками, используют обходные методы обнаружения и обфускацию кода, чтобы избежать обнаружения. Пакеты содержат функционал для работы с массивами, отладки, обработки событий и API.

Реестр npm временно приостановил работу всех аккаунтов, кроме одного, и сотрудники уведомили об этом аккаунте с просьбой его удалить. За время кампании более 5 600 раз были загружены 11 новых вредоносных пакетов.

Исследователи также обнаружили сходство между этой кампанией и предыдущими атаками Lazarus Group. Пакеты злоумышленников сканируют каталоги профилей браузеров и пытаются получить приватные ключи. Загрузка данных происходит через HTTP POST-запросы к командно-контрольным серверам, связанным с Lazarus Group.

Как отмечается, злоумышленники также используют репозитории Bitbucket вместо репозиториев GitHub, чтобы создать видимость поддержки и дать ощущение легитимности своим вредоносным пакетам.

В целом, группа злоумышленников Contagious Interview продолжает активно распространять вредоносные пакеты в экосистеме npm, используя различные платформы для распространения и обфускации кода, чтобы избежать обнаружения. Они нацелены на компрометацию систем разработчиков и кражу конфиденциальных данных и финансовых активов.

IPv4

• 144.172.87.27
• 185.153.182.241
• 45.61.151.71

URLs

• ip-api-server.vercel.app/api/ipcheck/703
• ip-check-api.vercel.app/api/ipcheck/703
• m21gk.wiremockapi.cloud/g/api/880
• mocki.io/v1/32f16c80-602a-4c80-80af-32a9b8220a6b