شناسایی بدافزار BeaverTail در پکیج‌های npm آلوده!

مجموعه Datadog Security Research در سپتامبر 2024، سه پکیج npm آلوده به بدافزار را کشف کرد. این پکیج‌ها مجموعاً 323 بار دانلود شده‌اند و شامل نمونه‌هایی از بدافزار BeaverTail، یک دانلودر جاوا اسکریپت و یک رباینده اطلاعات می‌باشند.

بدافزار BeaverTail بیش از یک سال است که با یک حمله در حال انجام به نام Contagious Interview  یا مصاحبه مُسری توسط هکرهای کره شمالی مرتبط می‌باشد. مصاحبه مُسری به یک کمپین در حال انجام اشاره دارد که به دنبال نفوذ به توسعه‌دهندگان نرم ‌افزار توسط بدافزار رباینده اطلاعات است.

این حمله از تاکتیک‌های مهندسی اجتماعی برای فریب دادن توسعه‌دهندگان به دانلود پکیج‌های مخرب پنهان ‌شده در قالب ابزارهای قانونی یا برنامه‌های ویدئو کنفرانس استفاده می‌کند.

زنجیره تامین نرم‌ افزارهای منبع باز در سال‌های اخیر به عنوان یک بردار حمله موثر برای هکرهای شمالی تبدیل شده است. هکرها به طور کلی به دنبال روش‌های نوآورانه برای نفوذ به محیط‌های توسعه‌ دهنده، به ویژه در بخش ارز دیجیتال هستند.

تیم تحقیقاتیDatadog ، حملات اخیر را تحت نام Tenacious Pungsan که با نام‌های CL-STA-0240 و Famous Chollima  نیز شناخته می‌شود، دنبال می‌کند.

پکیج‌های‌ آلوده اشاره شده که اکنون از رجیستری npm حذف شده‌اند، به شرح زیر می‌باشند:

• passports-js: یک نسخه بکدور شده از passport (۱۱۸ دانلود)
• bcrypts-js: یک نسخه بکدور شده از bcryptjs (۸۱ دانلود)
• blockscan-api: یک نسخه بکدور شده از etherscan-api  (۱۲۴ دانلود)

این اولین بار نیست که هکرها از پکیج‌های npm برای توزیع بدافزار BeaverTail استفاده می‌کنند. شرکت امنیتی زنجیره تامین نرم‌ افزار Phylum در آگوست 2024، دسته دیگری از پکیج‌های npm را شناسایی کرده است که راه را برای استقرار BeaverTail و یک بکدور پایتون به نام InvisibleFerret هموار می‌کند.

نام پکیج‌های مخرب شناسایی شده temp-etherscan-api، ethersscan-api، telegram-con، helmet-validate و qq-console می‌باشد. به نظر می‌رسد که این پکیج‌ها حاوی بدافزار مشابهی از جمله qq-console هستند.

این بدافزار رباینده طی یک مصاحبه شغلی و توسط پکیج‌های npm آلوده به بدافزار و نصب‌کننده‌های جعلی مانند MiroTalk  به قربانیان تحویل داده می‌شود.

همانطور که اشاره شد، هدف نهایی این حملات، استقرار یک پیلود پایتون به نام InvisibleFerret  است که می‌تواند داده‌های حساس را از افزونه‌های مرورگر کیف پول ارز دیجیتال استخراج کند و با استفاده از نرم ‌افزار دسکتاپ از راه دور قانونی مانند AnyDesk، تداوم دسترسی خود را بر روی سیستم قربانی تضمین کند. CrowdStrike، این فعالیت را تحت نام Famous Chollima دنبال می‌کند.

هکرهای کره شمالی در اوایل ماه اکتبر نیز افراد جویای کار را در صنعت فناوری مورد هدف قرار دادند تا نسخه‌های جدید بدافزارهای BeaverTail  و InvisibleFerret  را با هدف سرقت اطلاعات و ارز دیجیتال قربانیان توزیع کنند.

این خوشه فعالیت نیز تحت همان نام CL-STA-0240  دنبال می‌شود. تهدید کننده‌ای که پشت CL-STA-0240 قرار دارد از طریق پلتفرم‌های کاریابی، با توسعه دهندگان نرم افزار تماس گرفته و خود را به عنوان کارفرما معرفی کرده بود. هکرها از قربانی دعوت می‌کنند تا در یک مصاحبه آنلاین شرکت کند و سپس او را متقاعد می‌نمایند تا بدافزار را دانلود و نصب کند.

قربانی نیز کد را در یک محیط مجازی اجرا می‌کند و در نهایت به سرور فرماندهی و کنترل مهاجم (C2) متصل می‌شود. مرحله اول نفوذ شامل دانلودر و بدافزار رباینده اطلاعات BeaverTail  می‌باشد که برای نفوذ به سیستم عامل‌های ویندوز و MacOS   طراحی شده است.

این بدافزار به عنوان مجرایی برای تحویل بکدور InvisibleFerret  مبتنی بر پایتون عمل می‌کند. هکرها در این حملات، دانلودر BeaverTail  را در اپلیکیشن‌های زیر پنهان کرده بودند و آنها را توزیع می‌کردند:

• MiroTalk، یک برنامه تماس ویدیویی بلادرنگ.
• FreeConference، سرویسی که تماس کنفرانسی رایگان ارائه می‌دهد.

BeaverTail کد مخرب خود را در پس‌زمینه اجرا، داده‌ها را جمع‌آوری و آن‌ها را از میزبان قربانی ارسال می‌کند.

سوء استفاده از پکیج‌های قانونی npm و آلوده کردن آنها به بدافزار به یکی از تاکتیک‌های رایج هکرها تبدیل شده است. این حملات، همراه با مصاحبه مُسری نشان می‌دهند که توسعه‌دهندگان، اهداف ارزشمندی برای این دسته از هکرها خصوصا هکرهای کره شمالی به شمار می‌آیند.

تاکتیک‌های مهندسی اجتماعی هر روز در حال بهبود و توسعه هستند. از این رو می‌بایست کاربران چه در مقام کارفرما و چه در مقام کارپذیر همیشه هشیار بوده و از راهکارهای امنیتی به روزرسانی شده در دستگاه‌های خود استفاده کنند تا بتوانند هر گونه بدافزاری را به موقع شناسایی کنند.

منابع