Угроза цепочке поставок: злоумышленники из КНДР обновили вредоносное ПО ZshBucket для атаки через популярную библиотеку Axios

Злоумышленник получил контроль над пакетом Axios в репозитории npm (менеджер пакетов Node.js), используя похищенные учётные данные одного из сопровождающих проекта. Вместо исходного кода библиотеки пользователям начал распространяться вредоносный пакет, содержащий обновлённые версии импланта ZshBucket. Этот факт отмечают аналитики CrowdStrike Counter Adversary Operations. Особенностью атаки стало расширение целевой платформы: если ранее ZshBucket наблюдался исключительно в вариантах для macOS, то новые версии были адаптированы также для Linux и Windows, что значительно увеличивает потенциальный охват жертв.

Технический анализ обновлённого ZshBucket указывает на серьёзную эволюцию его возможностей. Во-первых, для всех платформ был внедрён единый протокол обмена сообщениями на основе JSON, что упрощает управление ботнетом из разнородных систем. Во-вторых, и это самое важное, значительно расширен функционал команд, доступных оператору. Простая логика "скачать и выполнить" уступила место комплексным возможностям: инъекции бинарной полезной нагрузки, исполнению произвольных скриптов и команд, перечислению файловой системы и удалённому завершению работы самого импланта. Такие изменения трансформируют ZshBucket из простого похитителя данных в многофункциональное средство для долгосрочного закрепления в системе и скрытного управления.

Атрибуция инцидента представляет собой сложную задачу. Исследователи CrowdStrike с умеренной уверенностью приписывают активность группировке STARDUST CHOLLIMA, которая исторически ассоциируется с КНДР. Ключевым аргументом является использование ZshBucket - вредоносного ПО, уникально связанного именно с этой группировкой. Код новых вариантов активно переиспользует функции и подходы из прошлых версий, включая методы профилирования пользователя и хоста, а также способ отправки собранных данных. Однако инфраструктура, использованная в атаке, также пересекается с операциями другой северокорейской группировки - FAMOUS CHOLLIMA, что не позволяет сделать вывод с высокой степенью уверенности. Группировки, связанные с КНДР, часто используют общие ресурсы, а FAMOUS CHOLLIMA имеет долгую историю злоупотреблений репозиториями npm.

Тем не менее, техническая сложность обновлённого ZshBucket, превышающая типичный арсенал FAMOUS CHOLLIMA, склоняет чашу весов в пользу STARDUST CHOLLIMA. Мотивация атаки, вероятно, соответствует её основным целям - генерации валюты. Эта группировка регулярно нацеливается на владельцев криптовалют и уже проводила широкомасштабные компрометации цепочек поставок, затрагивающие репозитории npm и PyPI компаний из сектора финансовых технологий (fintech). Неясно, были ли у атаки конкретные целевые организации, или же злоумышленники рассчитывали на массовое заражение с последующим отбором наиболее интересных жертв. Оба сценария несут высокие риски.

Данный инцидент не является единичным всплеском активности. Начиная с конца четвёртого квартала 2025 года, операционный темп STARDUST CHOLLIMA резко возрос и сохраняется на высоком уровне. Атака через Axios с использованием усовершенствованного ZshBucket служит очередным доказательством намерения группировки наращивать масштаб своих операций в ближайшей перспективе. Это тревожный сигнал для всего сообщества разработчиков и компаний, полагающихся на открытые репозитории пакетов. Инцидент подчёркивает критическую важность контроля за правами доступа сопровождающих, внедрения строгих практик цифровой гигиены для учётных записей и необходимости постоянного мониторинга доверенных зависимостей в проектах на предмет неожиданных изменений. В условиях, когда одна компрометированная библиотека может вызвать эффект домино, безопасность цепочки поставок перестаёт быть узкоспециальной задачей и становится вопросом стратегической устойчивости бизнеса.

IPv4

• 142.11.206.73
• 23.254.167.216
• 23.254.203.244

Domains

• sfrclak.com

Banner hash

• c373706b3456c36e8baa0a3ee5aed358c1fe07cba04f65790c90f029971e378a