مجموعه Datadog Security Research در سپتامبر 2024، سه پکیج npm آلوده به بدافزار را کشف کرد. این پکیجها مجموعاً 323 بار دانلود شدهاند و شامل نمونههایی از بدافزار BeaverTail، یک دانلودر جاوا اسکریپت و یک رباینده اطلاعات میباشند.
بدافزار BeaverTail بیش از یک سال است که با یک حمله در حال انجام به نام Contagious Interview یا مصاحبه مُسری توسط هکرهای کره شمالی مرتبط میباشد. مصاحبه مُسری به یک کمپین در حال انجام اشاره دارد که به دنبال نفوذ به توسعهدهندگان نرم افزار توسط بدافزار رباینده اطلاعات است.
این حمله از تاکتیکهای مهندسی اجتماعی برای فریب دادن توسعهدهندگان به دانلود پکیجهای مخرب پنهان شده در قالب ابزارهای قانونی یا برنامههای ویدئو کنفرانس استفاده میکند.
زنجیره تامین نرم افزارهای منبع باز در سالهای اخیر به عنوان یک بردار حمله موثر برای هکرهای شمالی تبدیل شده است. هکرها به طور کلی به دنبال روشهای نوآورانه برای نفوذ به محیطهای توسعه دهنده، به ویژه در بخش ارز دیجیتال هستند.
تیم تحقیقاتیDatadog ، حملات اخیر را تحت نام Tenacious Pungsan که با نامهای CL-STA-0240 و Famous Chollima نیز شناخته میشود، دنبال میکند.
پکیجهای آلوده اشاره شده که اکنون از رجیستری npm حذف شدهاند، به شرح زیر میباشند:
- passports-js: یک نسخه بکدور شده از passport (۱۱۸ دانلود)
- bcrypts-js: یک نسخه بکدور شده از bcryptjs (۸۱ دانلود)
- blockscan-api: یک نسخه بکدور شده از etherscan-api (۱۲۴ دانلود)
این اولین بار نیست که هکرها از پکیجهای npm برای توزیع بدافزار BeaverTail استفاده میکنند. شرکت امنیتی زنجیره تامین نرم افزار Phylum در آگوست 2024، دسته دیگری از پکیجهای npm را شناسایی کرده است که راه را برای استقرار BeaverTail و یک بکدور پایتون به نام InvisibleFerret هموار میکند.
نام پکیجهای مخرب شناسایی شده temp-etherscan-api، ethersscan-api، telegram-con، helmet-validate و qq-console میباشد. به نظر میرسد که این پکیجها حاوی بدافزار مشابهی از جمله qq-console هستند.
این بدافزار رباینده طی یک مصاحبه شغلی و توسط پکیجهای npm آلوده به بدافزار و نصبکنندههای جعلی مانند MiroTalk به قربانیان تحویل داده میشود.
همانطور که اشاره شد، هدف نهایی این حملات، استقرار یک پیلود پایتون به نام InvisibleFerret است که میتواند دادههای حساس را از افزونههای مرورگر کیف پول ارز دیجیتال استخراج کند و با استفاده از نرم افزار دسکتاپ از راه دور قانونی مانند AnyDesk، تداوم دسترسی خود را بر روی سیستم قربانی تضمین کند. CrowdStrike، این فعالیت را تحت نام Famous Chollima دنبال میکند.
هکرهای کره شمالی در اوایل ماه اکتبر نیز افراد جویای کار را در صنعت فناوری مورد هدف قرار دادند تا نسخههای جدید بدافزارهای BeaverTail و InvisibleFerret را با هدف سرقت اطلاعات و ارز دیجیتال قربانیان توزیع کنند.
این خوشه فعالیت نیز تحت همان نام CL-STA-0240 دنبال میشود. تهدید کنندهای که پشت CL-STA-0240 قرار دارد از طریق پلتفرمهای کاریابی، با توسعه دهندگان نرم افزار تماس گرفته و خود را به عنوان کارفرما معرفی کرده بود. هکرها از قربانی دعوت میکنند تا در یک مصاحبه آنلاین شرکت کند و سپس او را متقاعد مینمایند تا بدافزار را دانلود و نصب کند.
قربانی نیز کد را در یک محیط مجازی اجرا میکند و در نهایت به سرور فرماندهی و کنترل مهاجم (C2) متصل میشود. مرحله اول نفوذ شامل دانلودر و بدافزار رباینده اطلاعات BeaverTail میباشد که برای نفوذ به سیستم عاملهای ویندوز و MacOS طراحی شده است.
این بدافزار به عنوان مجرایی برای تحویل بکدور InvisibleFerret مبتنی بر پایتون عمل میکند. هکرها در این حملات، دانلودر BeaverTail را در اپلیکیشنهای زیر پنهان کرده بودند و آنها را توزیع میکردند:
- MiroTalk، یک برنامه تماس ویدیویی بلادرنگ.
- FreeConference، سرویسی که تماس کنفرانسی رایگان ارائه میدهد.
BeaverTail کد مخرب خود را در پسزمینه اجرا، دادهها را جمعآوری و آنها را از میزبان قربانی ارسال میکند.
سوء استفاده از پکیجهای قانونی npm و آلوده کردن آنها به بدافزار به یکی از تاکتیکهای رایج هکرها تبدیل شده است. این حملات، همراه با مصاحبه مُسری نشان میدهند که توسعهدهندگان، اهداف ارزشمندی برای این دسته از هکرها خصوصا هکرهای کره شمالی به شمار میآیند.
تاکتیکهای مهندسی اجتماعی هر روز در حال بهبود و توسعه هستند. از این رو میبایست کاربران چه در مقام کارفرما و چه در مقام کارپذیر همیشه هشیار بوده و از راهکارهای امنیتی به روزرسانی شده در دستگاههای خود استفاده کنند تا بتوانند هر گونه بدافزاری را به موقع شناسایی کنند.
منابع
مقالات مرتبط:
پکیجهای مخرب npm این بار کیف پولهای اتریوم را هدف قرار دادند!
توزیع بدافزارهای BeaverTail و InvisibleFerret در مصاحبههای شغلی جعلی
هکرهای کره شمالی، توسعه دهندگان را با پکیجهای مخرب npm مورد هدف قرار میدهند
هکرهای کره شمالی، توسعه دهندگان را توسط بسته های مخرب npm مورد هدف قرار دادند