عاملان تهدید کره شمالی که پشت یک کمپین مصاحبه جعلیِ آلودهساز (Contagious Interview) هستند، با انتشار پکیجهای مخرب که بدافزار BeaverTail و یک لودر تروجان دسترسی از راه دور (RAT) جدید را ارائه میدهند، دامنه فعالیت خود را در اکوسیستم npm گسترش دادهاند.
به گفته پژوهشگر امنیتی شرکت Socket، این نمونههای اخیر از رمزگذاری رشتههای hexadecimal برای فرار از سیستمهای تشخیص خودکار و بررسیهای دستی کد استفاده میکنند، که نشاندهنده تغییر در تکنیکهای مبهمسازی عاملان تهدید است.
پکیجهای موردنظر که پیش از حذف شدن در مجموع بیش از ۵۶۰۰ بار دانلود شدهاند، به شرح زیر هستند:
- empty-array-validator
- twitterapis
- dev-debugger-vite
- snore-log
- core-pino
- events-utils
- icloud-cod
- cln-logger
- node-clog
- consolidate-log
- consolidate-logger
این افشاگری تقریباً یک ماه پس از کشف مجموعهای از شش پکیج npm صورت میگیرد که در آن BeaverTail توزیع شد؛.هدف نهایی این کمپین، نفوذ به سیستمهای توسعهدهندگان با تظاهر به فرآیند مصاحبه شغلی، سرقت دادههای حساس، انتقال داراییهای مالی و حفظ دسترسی بلندمدت به سامانههای مورد نفوذ است.
کتابخانههای جدید شناساییشده در مخزن npm با تظاهر به ابزارهای کاربردی و اشکالزدایی (debugger) منتشر شدهاند. یکی از این بستهها با نام dev-debugger-vite، از یک آدرس فرمان و کنترل (C2) استفاده میکند که پیشتر توسط شرکت SecurityScorecard در کمپینی با نام رمز Phantom Circuit که در دسامبر ۲۰۲۴ اجرا شده بود، به گروه Lazarus نسبت داده شده بود.
آنچه این بستهها را متمایز میسازد، این است که برخی از آنها — مانند events-utils و icloud-cod — به جای GitHub به مخازن Bitbucket متصل هستند. علاوه بر این، مشخص شده که بستهی icloud-cod درون یک پوشه با نام eiwork_hire میزبانی شده است؛ موضوعی که بار دیگر بهرهبرداری عامل تهدید از مفاهیم مرتبط با مصاحبه شغلی را برای اجرای آلودگی تأیید میکند.
تحلیلهای انجامشده بر روی بستههای cln-logger، node-clog، consolidate-log و consolidate-logger نیز نشاندهنده تفاوتهای جزئی در سطح کد هستند؛ موضوعی که حاکی از انتشار نسخههای مختلفی از بدافزار با هدف افزایش نرخ موفقیت این کمپین است.
با وجود تغییرات انجامشده، کد مخربی که در این چهار بسته تعبیه شده است، بهعنوان یک لودر تروجان دسترسی از راه دور (RAT) عمل میکند؛ قابلیتی که امکان دریافت و اجرای مرحلهی بعدی بار مخرب (payload) از یک سرور راهدور را فراهم میسازد.
ماهیت دقیق بدافزاری که از طریق این لودر منتشر میشود، در حال حاضر مشخص نیست، چراکه نقاط فرمان و کنترل (C2) دیگر هیچ بار مخربی را ارائه نمیدهند.
این کد بهعنوان یک لودر بدافزار فعال با قابلیتهای تروجان دسترسی از راه دور (RAT) عمل میکند. با استفاده از تابع eval()، بهصورت پویا کد جاوااسکریپت را از راهدور دریافت و اجرا میکند؛ اقدامی که به مهاجمان کره شمالی امکان اجرای کد دلخواه بر روی سیستمهای آلوده را میدهد. این رفتار به آنها اجازه میدهد هر نوع بدافزار ثانویهای را بهدلخواه مستقر کنند و به همین دلیل، خود لودر بهتنهایی نیز یک تهدید جدی محسوب میشود.
یافتههای اخیر، استمرار تهدید کمپین Contagious Interview را نشان میدهد؛ کمپینی که نهتنها زنجیره تأمین نرمافزار را بهصورت مداوم تهدید میکند، بلکه از تاکتیک مهندسی اجتماعی شناختهشدهای با عنوان ClickFix نیز برای انتشار بدافزار بهره میبرد.
عاملان تهدید کمپین Contagious Interview به ایجاد حسابهای جدید در npm و انتشار کدهای مخرب در پلتفرمهایی مانند مخزن npm، گیتهاب و بیتباکت ادامه میدهند. این امر، نشاندهنده پافشاری آنها در اجرای حملات و نبود هیچ نشانهای از کاهش فعالیت آنهاست.
این گروه تهدید پیشرفته پایدار (APT) در حال تنوعبخشی به تاکتیکهای خود است — از انتشار بدافزارهای جدید با نامهای مستعار تازه گرفته تا میزبانی بارهای مخرب در مخازن GitHub و Bitbucket، و همچنین استفاده مجدد از مؤلفههای کلیدی مانند BeaverTail و InvisibleFerret در کنار نسخههای جدید مشاهدهشده از لودر/تروجان دسترسی از راه دور.
BeaverTail زمینهساز Tropidoor
شناسایی بستههای جدید در مخزن npm همزمان با افشای جزئیات یک کمپین فیشینگ با مضمون استخدام، توسط شرکت امنیت سایبری کرهجنوبی AhnLab است؛ کمپینی که در آن بدافزاری با نام BeaverTail توزیع می شود. و از آن برای استقرار یک در پشتی (backdoor) جدید و مستندسازینشده در سیستمعامل ویندوز با نام رمز Tropidoor استفاده میشود.
تحلیلهای انجامشده توسط این شرکت نشان میدهد که BeaverTail بهطور فعال توسعهدهندگان در کره جنوبی را هدف قرار داده است.
در این کمپین، یک پیام ایمیلی که ادعا میکرد از طرف شرکتی به نام AutoSquare ارسال شده، حاوی پیوندی به یک پروژهی میزبانیشده در Bitbucket بود. در متن ایمیل از گیرنده درخواست میشد که پروژه را روی دستگاه محلی خود کلون کرده و با بررسی آن، درک خود از برنامه را نشان دهد.
این پروژه در واقع چیزی جز یک کتابخانهی npm که شامل دو جزء مخرب است، نبود:
فایل tailwind.config.js که حامل بدافزار BeaverTail است
فایل car.dll که یک بدافزار دانلودکننده DLL محسوب میشود و توسط اسکریپت جاوااسکریپت دزدگیر و لودر اجرا میشود
Tropidoor یک در پشتی است که «از طریق دانلودر، در حافظه اجرا میشود» و قادر است با یک سرور فرمان و کنترل (C2) ارتباط برقرار کرده و دستوراتی را دریافت کند که از طریق آنها میتوان اقدام به سرقت فایلها، جمعآوری اطلاعات مربوط به درایو و فایلها، اجرای یا پایاندادن به فرایندها (processes)، گرفتن اسکرینشات، و حذف یا نابودی فایلها از طریق بازنویسی با دادههای NULL یا تصادفی (junk data) کرد.
یکی از جنبههای مهم این بدافزار، پیادهسازی مستقیم دستورات سیستمعامل ویندوز همچون schtasks، ping و reg در ساختار آن است؛ ویژگیای که پیشتر نیز در بدافزار دیگری منتسب به گروه Lazarus با نام LightlessCan مشاهده شده بود — بدافزاری که خود نسخهای پیشرفتهتر از BLINDINGCAN (با نامهای دیگر AIRDRY و ZetaNile) محسوب میشود.
توصیه امنیتی
کاربران باید نهتنها در مورد پیوستهای ایمیلی، بلکه نسبت به فایلهای اجرایی ناشناس نیز هوشیاری کامل داشته باشند.»
