HomeNews* Araştırmacılar, Kuzey Koreli tehdit aktörleriyle bağlantılı 35 yeni kötü amaçlı npm paketini ortaya çıkardı.
Paketler 4,000'den fazla kez indirildi ve 24 npm hesabından paylaşıldı.
Kampanya, bilgi hırsızları ve uzaktan erişim araçları sağlamak için kodlanmış Malware yükleyicileri kullanıyor.
Saldırganlar, LinkedIn gibi sitelerde sahte iş teklifleriyle geliştiricileri hedef alarak işe alımcı olarak davranıyorlar.
Operasyon, tehlikeye atılmış geliştirici sistemlerinden kripto para ve hassas verileri çalmayı amaçlamaktadır.
Siber güvenlik uzmanları, Kuzey Kore'den devlet destekli gruplara atfedilen devam eden "Bulaşıcı Röportaj" siber saldırı kampanyasıyla bağlantılı 35 yeni zararlı npm paketi belirledi. Yeni kötü amaçlı yazılım dalgası, npm açık kaynak paket platformunda ortaya çıktı ve geliştiricileri ve iş arayanları hedef alıyor.
Reklam - Socket'a göre, bu paketler 24 ayrı npm hesabından yüklenmiş ve 4,000'den fazla indirme almıştır. Bu paketlerden altısı, “react-plaid-sdk,” “sumsub-node-websdk” ve “router-parse” dahil, keşif anında halka açık olarak mevcut kalmıştır.
Her paket, kurulumdan sonra ana bilgisayar hakkında bilgi toplayan hex kodlu bir yükleyici olan HexEval adlı bir aracı içerir. HexEval, InvisibleFerret adlı Python tabanlı bir arka kapıyı indirip çalıştırabilen BeaverTail adlı başka bir kötü amaçlı programı seçerek dağıtır. Bu dizilim, hackerların hassas verileri çalmasına ve enfekte olmuş sistemi uzaktan kontrol etmesine olanak tanır. "Bu matryoshka yapısı, kampanyanın temel statik tarayıcıları ve manuel incelemeleri atlatmasına yardımcı oluyor," dedi Socket araştırmacısı Kirill Boychenko.
Kampanya genellikle tehdit aktörlerinin LinkedIn gibi platformlarda işe alımcı olarak kendilerini tanıttığı zaman başlar. Yazılım mühendisleriyle iletişime geçerler ve bu npm paketlerinin yer aldığı GitHub veya Bitbucket'ta barındırılan projelere bağlantılar içeren sahte iş atamaları gönderirler. Kurbanlar daha sonra bu projeleri indirmeye ve çalıştırmaya ikna edilir, bazen güvenli ortamların dışında.
Contagious Interview operasyonu, Palo Alto Networks Unit 42 tarafından 2023'ün sonlarında detaylandırılan, geliştirici makinelerine izinsiz erişim sağlamayı amaçlayan bir kampanyadır ve esas olarak kripto para ve veri hırsızlığı için kullanılmaktadır. Kampanya ayrıca CL-STA-0240, DeceptiveDevelopment ve Gwisin Gang gibi adlarla da bilinmektedir.
Socket, mevcut saldırgan taktiklerinin, güvenlik sistemlerini atlamak için kötü amaçlı yazılımlarla dolu açık kaynak paketlerini, özel sosyal mühendisliği ve katmanlı dağıtım mekanizmalarını birleştirdiğini bildiriyor. Kampanya, platformlar arası keylogger'ların ve yeni kötü amaçlı yazılım dağıtım tekniklerinin eklenmesiyle devam eden iyileştirmeyi gösteriyor.
Son etkinlikler, GolangGhost ve PylangGhost gibi kötü amaçlı yazılımları ulaştıran ClickFix adlı bir sosyal mühendislik stratejisinin kullanımını içermektedir. Bu alt kampanya, ClickFake Interview, gerektiğinde daha derin gözetim için geliştiricileri özel yüklerle hedef almaya devam etmektedir.
Reklam - Etkilenen npm paketlerinin tam listesini ve daha fazla detayı Socket'in kamu açıklaması aracılığıyla bulabilirsiniz.
Önceki Makaleler:
Argent Cüzdan, İkili Ürün Stratejisi ile Ready Olarak Yeniden Markalandı
YESminer, Ücretsiz Bonuslarla AI Destekli Kripto Platformunu Başlatıyor
Koreya Bankası, Bankaların Stabilcoin İhracını Yönetmesini İstiyor, Güvenliğe Odaklanıyor
Bernie Sanders, AI ve robotların işleri tehdit ettiğini uyarıyor; Yeni korumalar çağrısında bulunuyor.
Kripto Pazar Yapısı Üzerine Senato Duruşması Sadece Beş Üye Çekti
Reklam -
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Kuzey Koreli Npm Kötü Amaçlı Yazılım Geliştiricileri Sahte İş Görüşmelerinde Hedef Alıyor
HomeNews* Araştırmacılar, Kuzey Koreli tehdit aktörleriyle bağlantılı 35 yeni kötü amaçlı npm paketini ortaya çıkardı.
Her paket, kurulumdan sonra ana bilgisayar hakkında bilgi toplayan hex kodlu bir yükleyici olan HexEval adlı bir aracı içerir. HexEval, InvisibleFerret adlı Python tabanlı bir arka kapıyı indirip çalıştırabilen BeaverTail adlı başka bir kötü amaçlı programı seçerek dağıtır. Bu dizilim, hackerların hassas verileri çalmasına ve enfekte olmuş sistemi uzaktan kontrol etmesine olanak tanır. "Bu matryoshka yapısı, kampanyanın temel statik tarayıcıları ve manuel incelemeleri atlatmasına yardımcı oluyor," dedi Socket araştırmacısı Kirill Boychenko.
Kampanya genellikle tehdit aktörlerinin LinkedIn gibi platformlarda işe alımcı olarak kendilerini tanıttığı zaman başlar. Yazılım mühendisleriyle iletişime geçerler ve bu npm paketlerinin yer aldığı GitHub veya Bitbucket'ta barındırılan projelere bağlantılar içeren sahte iş atamaları gönderirler. Kurbanlar daha sonra bu projeleri indirmeye ve çalıştırmaya ikna edilir, bazen güvenli ortamların dışında.
Contagious Interview operasyonu, Palo Alto Networks Unit 42 tarafından 2023'ün sonlarında detaylandırılan, geliştirici makinelerine izinsiz erişim sağlamayı amaçlayan bir kampanyadır ve esas olarak kripto para ve veri hırsızlığı için kullanılmaktadır. Kampanya ayrıca CL-STA-0240, DeceptiveDevelopment ve Gwisin Gang gibi adlarla da bilinmektedir.
Socket, mevcut saldırgan taktiklerinin, güvenlik sistemlerini atlamak için kötü amaçlı yazılımlarla dolu açık kaynak paketlerini, özel sosyal mühendisliği ve katmanlı dağıtım mekanizmalarını birleştirdiğini bildiriyor. Kampanya, platformlar arası keylogger'ların ve yeni kötü amaçlı yazılım dağıtım tekniklerinin eklenmesiyle devam eden iyileştirmeyi gösteriyor.
Son etkinlikler, GolangGhost ve PylangGhost gibi kötü amaçlı yazılımları ulaştıran ClickFix adlı bir sosyal mühendislik stratejisinin kullanımını içermektedir. Bu alt kampanya, ClickFake Interview, gerektiğinde daha derin gözetim için geliştiricileri özel yüklerle hedef almaya devam etmektedir.
Önceki Makaleler: