Северокорейские хакеры продолжают атаку на цепочку поставок с помощью вредоносных npm-пакетов
Исследовательская группа Socket Threat выявила масштабную и продолжающуюся кампанию кибератак, ориентированную на цепочку поставок в экосистеме npm. Эта операция, получившая название Contagious Interview, использует сложные многоуровневые механизмы внедрения вредоносного ПО, позволяющие злоумышленникам обходить стандартные методы обнаружения и реализовывать кражу информации.
Основные факты атаки
- Обнаружено 35 вредоносных npm-пакетов, опубликованных в 24 разных учетных записях.
- Шесть заражённых аккаунтов остаются активными на момент отчёта.
- Общее количество загрузок вредоносных пакетов превышает 4000.
- Используется загрузчик с шестнадцатеричным кодом под названием HexEval.
HexEval выполняет сбор метаданных с заражённого хоста и загружает дополнительные вредоносные скрипты для дальнейших этапов атаки.
Структура атаки и вредоносное ПО
Атака строится по многоуровневой схеме, что значительно затрудняет её выявление:
- HexEval — загрузчик с обфусцированным кодом, который шифрует имена модулей и URL командно-диспетчерского пункта (C2) в шестнадцатеричном формате. Он отправляет HTTPS POST-запросы на одну из трёх фиксированных C2-эндпойнтов, принимая решения на основе условий выполнения и тем самым снижая вероятность детектирования.
- BeaverTail — вредоносное ПО второго этапа, нацеленное на кражу конфиденциальных данных. Оно сканирует локальные файлы, ищет информацию в браузерах и кошельках, а также адаптируется под операционную систему жертвы.
- InvisibleFerret — бэкдор третьего этапа, который обеспечивает постоянный доступ злоумышленников и позволяет загружать новое вредоносное ПО.
Такой пошаговый подход позволяет обходить статические сканеры и реализации проверок безопасности, что значительно повышает эффективность атаки.
Методы социальной инженерии и способы проникновения
Злоумышленники активно используют социальную инженерию, преимущественно через LinkedIn. Там они выдают себя за рекрутеров и предлагают разработчикам заманчивые вакансии и задания по написанию кода. Для выполнения таких заданий жертвам часто приходится клонировать заражённые репозитории и запускать код локально, зачастую вне защищённых контейнеров.
Ключевые приёмы атаки включают:
- Постоянные приглашения на видеозвонки в реальном времени.
- Рекомендации отключить меры безопасности, например, Docker, для обеспечения «полного функционала» вредоносного ПО.
- Регистрация как минимум 19 email-адресов под вымышленными именами для создания доверительных учетных записей npm.
Рекомендации для сообщества разработчиков
В условиях продолжающейся кампании Contagious Interview риск заражения остается высоким. Исследователи Socket Threat подчёркивают необходимость повышения уровня осведомлённости среди специалистов по кибербезопасности и разработчиков ПО. Важно:
- Внимательно проверять источники npm-пакетов и учетные записи.
- Осторожно реагировать на предложения и приглашения, получаемые через LinkedIn и другие социальные сети.
- Не отключать защитные механизмы и избегать запуска непроверенного кода вне защищённых сред.
- Регулярно обновлять инструменты анализа и мониторинга безопасности.
Текущая ситуация демонстрирует, что операции северокорейских киберпреступников становятся всё более изощрёнными. Многоуровневый характер атаки и использование продвинутых методов обфускации требуют комплексного и системного подхода к защите цепочек поставок программного обеспечения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака северокорейских хакеров на цепочку поставок npm-зависимостей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.