Представители хакерской группировки Moonstone Sleet, якобы связанные с правительством Северной Кореи, продолжают размещать вредоносные пакеты npm в реестре пакетов JavaScript с целью заражения систем Windows. Об этом накануне сообщили эксперты по информационной безопасности компании Datadog Security.
По словам исследователей, пакеты, о которых идет речь, harthat-api и harthat-hash, были опубликованы 7 июля 2024 года. Как отмечают в Datadog Security Labs, обе библиотеки не привлекли ни одной загрузки и были вскоре удалены после короткого периода времени.
«Хотя название напоминает пакет Hardhat npm (утилита разработки Ethereum), его содержимое не указывает на намерение его типосквотировать. Вредоносный пакет повторно использует код из известного репозитория GitHub под названием node-config с более чем 6000 звездами и 500 форками, известным в npm как config», — заявили исследователи Datadog Себастьян Обрегосо и Зак Аллен.
Известно, что цепочки атак, организованные северокорейскими злоумышленниками, распространяют поддельные ZIP-архивы через LinkedIn под поддельным названием компании или веб-сайтов фриланса, побуждая потенциальные цели выполнять полезные нагрузки, вызывающие пакет npm в рамках предполагаемой оценки технических навыков.
«При загрузке вредоносный пакет использовал curl для подключения к контролируемому субъектом IP-адресу и сбрасывал дополнительные вредоносные данные, такие как SplitLoader. В другом инциденте Moonstone Sleet доставил вредоносный загрузчик npm, что привело к краже учетных данных из LSASS», — заявили в Microsoft в мае 2024 года. Последующие выводы Checkmarx показали, что Moonstone Sleet также пытается распространять свои пакеты через реестр npm.
Недавно обнаруженные пакеты предназначены для запуска предустановочного скрипта, указанного в файле package.json, который, в свою очередь, проверяет, запущен ли он в системе Windows («Windows_NT»), после чего связывается с внешним сервером («142.111.77[.]196») для загрузки файла DLL, который загружается с помощью двоичного файла rundll32.exe.
Оригинал публикации на сайте CISOCLUB: "Северокорейские хакеры продолжают активно атаковать системы Windows, отправляя вредоносные JS-пакеты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
