Северокорейские хакеры атакуют экосистему npm с помощью нового загрузчика XORIndex
Недавнее исследование выявило волну внедрений вредоносных пакетов в реестр npm, осуществленных северокорейскими хакерами с использованием загрузчика вредоносных программ, известного как XORIndex. Этот инцидент демонстрирует растущую угрозу для разработчиков и пользователей, активно применяющих JavaScript-пакеты из открытых источников.
Что такое XORIndex и как он работает
Загрузчик XORIndex связан с предыдущей кампанией под названием Contagious Interview — связь подтверждается аналогиями в схемах именования пакетов и использованием вредоносного ПО BeaverTail. Основная функция XORIndex — облегчать удалённое выполнение кода (remote code execution). После установки пакет автоматически связывается с жестко запрограммированным сервером управления (C2) и загружает JavaScript-код для выполнения.
Примечательна эволюция этого загрузчика:
- Ранние версии не содержали методов обфускации строк и сбор метаданных о хосте.
- Современные варианты включают XOR-обфускацию, ротацию с несколькими конечными точками и профилирование хост-системы.
Объем заражения и динамика атаки
Исследовательская группа Socket Threat выявила, что всего было внедрено 67 вредоносных пакетов npm, в том числе:
- 39 пакетов загрузчика HexEval
- 28 пакетов загрузчика XORIndex
Общее количество загрузок превышает 17 000.
Несмотря на активные попытки удалить вредоносные пакеты из реестра, по состоянию на момент расследования 27 из них остаются активными. Хакеры оперативно создают новые варианты, реагируя на меры блокировки, что свидетельствует о высокой агрессивности вредоносной кампании.
Инфраструктура атак и дальнейшие стадии эксплуатации
Каждый заражённый пакет жестко связан с инфраструктурой C2, обеспечивающей контроль и обновление вредоносного ПО. Например, пакет eth-auditlog собирает локальные телеметрические данные и отправляет их на серверы C2. Затем он загружает вредоносную полезную нагрузку BeaverTail, которая выполняет слежку за конфиденциальной информацией — в частности, за криптовалютными кошельками и расширениями браузера.
Важно подчеркнуть, что BeaverTail является лишь промежуточным этапом, далее происходит внедрение бэкдора InvisibleFerret. Таким образом, создается цепочка внедрения вредоносного ПО, позволяющая кибершпионам получать долгосрочный доступ к скомпрометированным системам.
Цели и перспективы атак
Загрузчик XORIndex спроектирован как платформонезависимое ПО, основное внимание уделяется экосистеме Node.js. Главная цель преступников — разработчики и частные лица с учетными данными, связанными с криптовалютой.
Ожидается, что группа хакеров продолжит использовать уже отработанные вредоносные инструменты, параллельно внедряя новые методы защиты своего кода, включая расширенные методы обфускации.
Выводы
Инцидент с загрузчиком XORIndex и связанными вредоносными пакетами в реестре npm иллюстрирует одну из наиболее актуальных угроз современной кибербезопасности. Для разработчиков крайне важно постоянно мониторить используемые пакеты, проверять их на безопасность и соблюдать лучшие практики в области управления зависимостями.
Кроме того, данный кейс служит напоминанием о том, что злоумышленники активно развивают методы обхода защит, а значит — только комплексный подход к безопасности позволит минимизировать риски.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Северокорейские хакеры распространяют вредоносные пакеты npm через XORIndex".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.