- Pesquisadores de segurança avistaram 67 pacotes maliciosos no NPM
- Os pacotes fazem parte da campanha de entrevista contagiosa
- Eles provavelmente são implantados por atacantes norte -coreanos
Hackers norte -coreanos foram vistos empurrando dezenas de pacotes maliciosos para o NPM, na tentativa de comprometer os produtos da tecnologia ocidental por meio de ataques da cadeia de suprimentos.
Os pesquisadores de segurança cibernética afirmam que o último impulso de 67 pacotes maliciosos é apenas a segunda mão de um ataque anterior, no qual foram publicados 35 pacotes, como parte de uma campanha chamada entrevista contagiosa.
“A operação de entrevista contagiosa continua a seguir uma dinâmica de Whack-A-Mole, onde os defensores detectam e relatam pacotes maliciosos, e os atores de ameaças norte-coreanos respondem rapidamente enviando novas variantes usando os mesmos manuais semelhantes ou ligeiramente evoluídos”, disse o pesquisador de soquete Kirill Boychenko.
Milhares de vítimas
O upload de código malicioso para o NPM é apenas uma configuração. O ataque real provavelmente acontece em outros lugares – no LinkedIn, Telegram ou Discord. Os atacantes norte -coreanos se apresentariam como recrutadores ou gerentes de RH em grandes empresas de tecnologia respeitáveis e alcançariam desenvolvedores de software que oferecem trabalho.
O processo de entrevista inclui várias rodadas de palestras e conclui com uma tarefa de teste. Essa tarefa de teste exige que o candidato a emprego faça o download e execute um pacote NPM, que é onde a pessoa acaba com um dispositivo comprometido. Obviamente, isso não significa que outras pessoas também não pudessem baixar pacotes contaminados também.
Cumulativamente, os pacotes atraíram mais de 17.000 downloads, que é a superfície de ataque.
Os norte-coreanos são famosos por seu trabalho falso e golpes falsos de funcionários, cujos objetivos geralmente variam entre a cibernética e o roubo financeiro. Se eles não estão roubando a propriedade intelectual ou os dados proprietários, eles estão roubando criptomoedas que o governo usa para financiar o aparelho estadual e seu programa de armas nucleares.
As campanhas implantam todos os tipos de malware, do Beavertail InfoStealer, através do Xorindex Loader, Hexeval e muitos outros.
“Os atores de ameaças de entrevistas contagiosos continuarão a diversificar seu portfólio de malware, girando através de novos pseudônimos de mantenedores NPM, reutilizando carregadores como carregadores hexeval e famílias de malware como Beavertil e InvisibleFerret e implantando ativamente variantes recém -observadas, incluindo o carregador XorIndex”, concluíram os pesquisadores.
Via The Hacker News
Fique conectado