Замаскированные npm-пакеты и похищение SSH-ключей: как северокорейские хакеры атакуют разработчиков

В то время как значительные усилия исследователей направлены на отслеживание и каталогизацию семейств вредоносного ПО, а также поиск совпадений в их кодовой базе, инфраструктурная составляющая атак часто остаётся в тени. Между тем, её анализ может быть не менее информативным, представляя собой, по сути, задачу поиска шаблонов и взаимосвязей. Недавний случай, обнаруженный при анализе другой угрозы, привёл экспертов к ранее неизвестному компоненту, который использует экосистему Node.js для создания бэкдора и похитителя данных. Этот компонент демонстрирует тактики, тесно перекликающиеся с известными кампаниями северокорейских хакеров.

Объектом исследования стал пакет для менеджера пакетов npm под названием "npm-doc-builder". Его вредоносная функциональность активируется через скрипт "postinstall", который автоматически выполняется при установке пакета. Основной файл "index.js" выполняет несколько ключевых действий. Во-первых, он обращается по определённому URL для загрузки и последующего добавления SSH-ключа в систему пользователя, что обеспечивает злоумышленникам постоянный удалённый доступ. Во-вторых, он загружает конфигурацию, содержащую шаблоны для поиска ценных файлов на заражённой машине. В рассмотренном случае эти шаблоны включали файлы ".env" (часто содержащие ключи API и пароли), ".bash_history" (историю команд терминала) и "ConsoleHost_history.txt" (аналогичный файл для PowerShell в Windows). Найденные файлы затем отправляются на контролируемый злоумышленниками сервер.

Исследование, проведённое независимым аналитиком Джейсоном Ривзом, показало, что анализ инфраструктуры, используемой таким пакетом, привёл к обнаружению связанных образцов кода. Один из них содержал жёстко прописанные в коде данные для подключения к командному серверу. После декодирования строк и выполнения запроса на указанный адрес загружался обфусцированный вредоносный код. Его деобфускация выявила прямую связь с известным семейством OtterCookie. В частности, в коде были прописаны адреса серверов для загрузки данных с использованием нестандартных портов 8085, 8086 и 8087, на которых работали веб-серверы Express, а также порт 17500 для неизвестного протокола.

Этот случай наглядно демонстрирует эволюцию тактик APT-групп (продвинутых постоянных угроз), связанных с КНДР. Они не только создают сложное вредоносное ПО, но и тщательно прорабатывают механизмы его внедрения, используя доверие внутри профессионального сообщества разработчиков. Атака начинается не с эксплойта, а с социальной инженерии, маскирующейся под обычный рабочий процесс. Последствия успешного внедрения такого пакета серьёзны: компрометация SSH-ключей открывает путь к полному контролю над серверами разработки и сборки, а похищение файлов с конфиденциальными данными может привести к утечке интеллектуальной собственности, ключей доступа к облачным сервисам и внутренней документации.

С точки зрения защиты данный инцидент подчёркивает критическую важность проверки сторонних зависимостей, особенно тех, что поступают из непроверенных источников. Командам разработки необходимо внедрять практики безопасного управления зависимостями, включая использование доверенных реестров, сканирование пакетов на наличие вредоносного кода и тщательный аудит любых предложений по сотрудничеству от неизвестных лиц. Кроме того, мониторинг сетевой активности на предмет нестандартных исходящих подключений, особенно на указанные порты, может помочь в раннем обнаружении подобных компрометаций. Инфраструктурный анализ, как показала эта история, остаётся мощным инструментом для связывания разрозненных кибератак в единую картину деятельности хакерских группировок.

IPv4

• 107.189.22.20
• 144.172.110.132
• 144.172.110.228
• 144.172.110.96
• 144.172.116.22
• 144.172.93.169
• 144.172.93.253
• 144.172.99.248
• 144.172.99.81

SHA256

• 31d55cb5dd194cd99387d386e84d8b24d340c0b52983ce630f0aafd70fee008c
• 843ac01149cced785dfebd0028d3b03ba78e286e1c6f9517ebfcdb609d97af4c