7 июля 2024 года специалисты по кибербезопасности компании Datadog обнаружили две вредоносные библиотеки в реестре npm, которые использовались для распространения шпионского ПО. Пакеты под названиями "harthat-hash" и "harthat-api" содержали код, загружающий дополнительные вредоносные компоненты с удаленного сервера. По данным исследователей, атака была направлена преимущественно на пользователей Windows, а зараженные библиотеки были связаны с хакерской группой Moonstone Sleet, которую ранее отслеживала Microsoft.
Описание
Злоумышленники использовали тактику социальной инженерии, публикуя пакеты под фальшивым именем разработчика. Это распространенный метод, позволяющий избежать блокировки в репозиториях. Однако вредоносные библиотеки были быстро обнаружены и удалены из npm в течение нескольких часов после публикации. Анализ кода показал, что злоумышленники скопировали фрагменты из открытых репозиториев GitHub, чтобы придать своим пакетам видимость легитимности.
Одним из ключевых компонентов вредоносного ПО была DLL-библиотека, которая не подвергалась обфускации, что упростило ее анализ. Исследователи обнаружили вызовы подозрительных функций Windows API, таких как IsDebuggerPresent и GetTickCount, которые часто используются для противодействия отладке и обратной разработке. Однако дальнейшее изучение не выявило явных признаков вредоносной активности, что позволило предположить, что злоумышленники могли случайно загрузить незавершенную версию своего инструмента.
Группа Moonstone Sleet, связанная с КНДР, известна своими атаками на разработчиков программного обеспечения и ИТ-компании. В данном случае их целью, вероятно, был сбор данных или внедрение бэкдоров в системы жертв. Использование npm в качестве вектора атаки не является новым, но подчеркивает растущую угрозу со стороны supply chain-атак, когда злоумышленники внедряют вредоносный код в легитимные цепочки поставок ПО.
Эксперты по безопасности рекомендуют разработчикам тщательно проверять сторонние зависимости перед их использованием, особенно если пакеты публикуются малоизвестными авторами. Также важно регулярно обновлять инструменты анализа уязвимостей и мониторинга зависимостей, чтобы минимизировать риски заражения.
Этот инцидент в очередной раз демонстрирует, что даже крупные репозитории кода, такие как npm, остаются уязвимыми для злонамеренных действий. Киберпреступники продолжают совершенствовать свои методы, а компании и разработчики должны быть начеку, чтобы не стать следующей жертвой.
Индикаторы компрометации
IPv4
- 142.111.77.196
SHA256
- d2a74db6b9c900ad29a81432af72eee8ed4e22bf61055e7e8f7a5f1a33778277
