Северокорейская кампания по краже криптовалюты возобновила активность

Обнаружение новых вредоносных пакетов

В ходе мониторинга исследователи выявили четыре подозрительных пакета в экосистеме NPM: cloud-binary, json-cookie-csv, cloudmedia и nodemailer-enhancer. Однако последующий анализ показал, что всего в этой кампании использовалось не менее 12 вредоносных пакетов, часть из которых была заблокирована системами защиты Veracode.

Злоумышленники применяли различные техники обфускации кода, включая шифрование и кодирование полезной нагрузки. Кроме того, исследователи обнаружили повторное использование инфраструктуры командных серверов (C2) и ключей шифрования, что указывает на связь между всеми пакетами.

Как работает вредоносное ПО

Основной целью атак становятся разработчики, которых злоумышленники пытаются обмануть, предлагая установить вредоносные пакеты в ходе собеседований по программированию. Например, пакет bingo-logger активировался при запуске юнит-тестов - стандартной части технического интервью для проверки навыков тестирования кода.

Один из наиболее сложных пакетов, cloud-binary, представлял собой типосквоттинг популярного NPM-пакета cloudinary. После установки он запускал вредоносный скрипт через postinstall-хук, который, в свою очередь, инициировал фоновый процесс для выполнения зашифрованного кода.

Полезная нагрузка использовала AES-256-CBC для расшифровки и выполнялась через функцию eval(), что позволяло злоумышленникам получать полный контроль над системой жертвы. Основные функции вредоносного ПО включали:

• Сбор системной информации (ОС, имя пользователя).
• Поиск и кражу криптокошельков, файлов с чувствительными данными (паролями, ключами API).
• Загрузку второго этапа атаки для обеспечения устойчивости в системе.
• Выполнение произвольных Python-скриптов с сервера злоумышленников.
• Обход защитных механизмов, таких как песочницы и виртуальные машины.

Разнообразие атакующих методик

Другие пакеты, такие как json-cookie-csv, использовали схожие методы, но с некоторыми отличиями. Например, в одном из случаев вредоносный код дополнительно обращался к API-сервису npoint.io, получая JSON с замаскированными командами.

Особый интерес вызвал пакет nodemailer-enhancer, в котором вместо стандартного лицензионного текста содержался шестнадцатеричный код, оказавшийся ключом шифрования. Исследователи также обнаружили утечку в виде файла LICENSE(old), содержавшего дополнительную вредоносную нагрузку.

Связь с северокорейскими хакерами

Анализ инфраструктуры показал, что командные серверы располагались на скомпрометированных хостах в дата-центрах США. Некоторые из них использовали порт 1224, что совпадает с предыдущими атаками, приписываемыми группе Lazarus, связанной с КНДР.

Примечательно, что злоумышленники периодически приостанавливали активность, что затрудняло анализ их серверов. Кроме того, некоторые пакеты содержали насмешливые комментарии в коде, что может свидетельствовать о наличии нескольких независимых групп, работающих в этом направлении.

Борьба с угрозой

Veracode уже уведомила NPM о вредоносных пакетах, и они были удалены из репозитория. Однако исследователи продолжают поиск других потенциально опасных модулей. Все обнаруженные пакеты блокируются системой Package Firewall, что защищает пользователей от заражения.

Эксперты рекомендуют разработчикам проявлять осторожность при установке сторонних зависимостей, особенно в ходе технических собеседований, и использовать системы мониторинга безопасности для выявления подозрительной активности.

Кибербезопасность остается постоянной гонкой вооружений, и подобные кампании демонстрируют, что злоумышленники постоянно адаптируются, используя новые методы обмана. Veracode продолжает отслеживать эту угрозу, чтобы предотвратить будущие атаки.

URLs

• http://135.181.123.177
• http://144.172.104.10:1224
• http://144.172.105.235:1224
• http://144.172.106.7:1224
• http://144.172.109.98:1224
• http://45.61.128.61:1224
• http://45.61.150.67:1224
• http://45.61.165.45:1224
• http://95.216.46.218
• https://api.npoint.io/e5a5e32cdf9bfe7d2386

SHA256

• f11e5d193372b6986b7333c0367ed2311f7352b94b079220523384a3298f5e87

Browser Extension IDs

• nkbihfbeogaeaoehlefnkodbefgpgknn
• ejbalbakoplchlghecdalmeeeajnimhm
• fhbohimaelbohpjbbldcngcnapndodjp
• ibnejdfjmmkpcnlpebklmnkoeoihofec
• bfnaelmomeimhlpmgjnjophhpkkoljpa
• aeachknmefphepccionboohckonoeemg
• hifafgmccdpekplomjjkcfgodnhcellj
• jblndlipeogpafnldhgmapagcccfchpi
• acmacodkjbdgmoleebolmdjonilkdbch
• dlcobpjiigpikoobohmabehhmhfoodbb
• mcohilncbfahbmgdjkbpemcciiolgcge
• agoakfejjabomempkjlepdflaleeobhb
• omaabbefbmiijedngplfjmnooppbclkk
• aholpfdialjgjfhomihkjbmgjidlcdno
• nphplpgoakhhjchkkhmiggakijnkhfnd
• penjlddjkjgpnkllboccdgccekpkcbin
• lgmpcpglpngdoalbgeoldeajfclnhafa
• fldfpgipfncgndfolcbkdeeknbbbnhcc
• bhhhlbepdkbapadjdnnojkbgioiodbic
• aeachknmefphepccionboohckonoeemg
• gjnckgkfmgmibbkoficdidcljeaaaheg
• afbcbjpbpfadlkmhmclhkeeodmamcflc