Исследователи безопасности из Datadog обнаружили злоумышленника, связанного с Корейской Народно-Демократической Республикой (КНДР), который использовал npm для получения первоначального доступа.
Moonstone Sleet
7 июля 2024 года в реестре npm были опубликованы два вредоносных пакета, "harthat-hash" и "harthat-api", содержащие код, устанавливающий дополнительное вредоносное ПО с командно-контрольного (C2) сервера. Сервер C2 в основном обслуживал вредоносные пакетные скрипты и DLL, что указывает на целевой набор жертв - Windows. По оценке Datadog, эта деятельность совпадает со злоумышленником, которого Microsoft отслеживает как Moonstone Sleet.
Злоумышленник использовал код из известного репозитория GitHub и публиковал пакеты под фальшивым автором, демонстрируя тактику, используемую для того, чтобы избежать блокировки на сайте менеджера пакетов. Вредоносные пакеты были удалены через несколько часов после публикации. DLL злоумышленника была предоставлена без обфускации, а первоначальный статический анализ выявил вызовы Windows API подозрительных функций, таких как IsDebuggerPresent и GetTickCount, обычно используемых для защиты от отладки и реверсивной инженерии. Однако дальнейший анализ не выявил никакого дополнительного вредоносного поведения, что позволило сделать вывод о том, что DLL, возможно, не является оружием или что злоумышленник по ошибке выложил незаконченную версию.
Indicators of Compromise
IPv4
- 142.111.77.196
SHA256
- d2a74db6b9c900ad29a81432af72eee8ed4e22bf61055e7e8f7a5f1a33778277
