El transportador de hacking de Corea del Norte: Phishing, 338 paquetes npm e infraestructura C2 oculta

El transportador de hacking de Corea del Norte: Phishing, 338 paquetes npm, más de 180 alias npm y más de 15 endpoints C2 crean todo un ecosistema y explotan numerosos componentes de desarrollo comunes. Hemos visto anteriormente grupos norcoreanos infiltrados en empresas de TI, así como compromisos masivos de paquetes npm populares; sin embargo, esta investigación muestra un esquema extremadamente exhaustivo y consistente y un número sin precedentes de paquetes npm maliciosos y puntos finales C2.

"Contagious Interview no es un pasatiempo de cibercrimen, opera como una línea de montaje o una amenaza de cadena de suministro de modelo de fábrica"

Weex Banner

La ingeniería social como principal punto de entrada para comprometer el sistema

Otro informe de incidentes destacaba la ingeniería social como un vector de amenaza clave, y aquí es uno de los componentes principales. Un desarrollador recibe un mensaje de un supuesto reclutador con una tarea "para llevar a casa". El enlace lleva a un repositorio, un archivo o un documento. Al preparar el entorno, se inicia la instalación de la dependencia, que incluye un módulo malicioso. La víctima cree que está completando una prueba, pero en realidad activa una etapa en la cadena de suministro y cede el control a un cargador.

La entrega y la ejecución están ligadas a la instalación

Los puntos de lanzamiento se colocan donde está garantizado que se activen durante el desarrollo normal: ganchos del ciclo de vida como postinstall, código que se ejecuta en la importación y pequeñas envolturas multiplataforma. La ola actual se aleja de los droppers directos y se acerca a los cargadores cifrados. Un pequeño módulo codifica AES-256-CBC con una clave fija y un IV, y un gran texto cifrado se almacena dentro del paquete, a menudo en el archivo LICENSE. En la etapa de instalación o importación, el contenido se descifra y se pasa a eval en memoria. Como resultado, la segunda etapa no permanece en el disco como un artefacto legible, y las comprobaciones estáticas ven menos firmas que en el caso de los paquetes ordinarios.

Tras la detonación inicial, BeaverTail se carga en memoria. Registra el host, establece comunicación a través de HTTP(S) y, si es necesario, a través de WebSocket, solicita tareas y extrae la segunda etapa InvisibleFerret. InvisibleFerret proporciona acceso multiplataforma en Windows, macOS y Linux, amplía el conjunto de acciones en el objetivo y mantiene la persistencia. La red de mando y control se enmascara como llamadas de servicio: el front end se coloca en plataformas públicas con rutas como /api/ipcheck o /process-log, el back end se ejecuta en un VPS con IPs estáticas. Este perfil de tráfico se mezcla fácilmente con la telemetría cotidiana de desarrolladores y CI si las conexiones salientes están permitidas por defecto.

La superficie de ataque es más amplia que la lista habitual de unas pocas bibliotecas

El compromiso se logra a través de dependencias que los desarrolladores instalan reflexivamente a través de pilas muy diferentes: módulos de servidor y herramientas, la cadena de herramientas front-end y utilidades de construcción, así como SDKs Web3 y herramientas del ecosistema. Se dan tanto nombres reconocibles como variantes tipográficas y parecidos, lo cual es crítico en prototipos y tareas para llevar a casa, donde el autocompletado y la memoria muscular a menudo sustituyen a la verificación cuidadosa.

Entre los ejemplos ilustrativos de los casos analizados se incluyen utilidades de registro, análisis sintáctico de solicitudes y tematización CSS, así como paquetes en los que se identificaron un infostealer multietapa y un cargador cifrado AES en el momento de la instalación. Es importante comprender la escala: los nombres específicos ilustran el enfoque, pero no agotan la cobertura, que se mide en cientos de publicaciones y se actualiza periódicamente.

Aparece otro punto débil en el nivel de gobernanza del ecosistema

Una vez eliminada una publicación maliciosa, la cuenta puede seguir publicando con el mismo nombre y a través del mismo canal de distribución, lo que permite que un nuevo paquete con los mismos objetivos regrese rápidamente. Para la defensa, esto significa que la neutralización debe seguir al operador en lugar del nombre del artefacto: la agrupación por rasgos de infraestructura y patrones de código produce un mayor efecto que los desmantelamientos uno por uno.

El objetivo económico final está claro. El robo de criptoactivos y secretos con su posterior blanqueo a través de cascadas de mezcladores, intercambios entre cadenas y redes de baja visibilidad. Sin embargo, el objetivo se centra en los ingenieros, que tienen más probabilidades de acceder a monederos, claves y configuraciones de infraestructura.

¿Cómo deben responder los equipos de desarrollo a tal escala de vulnerabilidades?

Aunque se trata de un compromiso extremadamente grande de todo el ecosistema de desarrollo, proporciona valiosas pistas para los equipos de desarrollo, donde cada paso de la cadena de asesinato tiene signos observables y puntos de intervención técnica. Antes de integrar el código, es importante tratar cualquier artefacto externo como un punto de ejecución potencial, fijar versiones y verificar la procedencia y la confianza del mantenedor. En el momento de la instalación, las restricciones a la postinstalación y otros ganchos automáticos son fundamentales, al igual que los bloqueos de descifrar y evaluar y las conexiones salientes inesperadas, así como minimizar los privilegios de red de los procesos de instalación.

En tiempo de ejecución, en el lado de la red, es útil identificar perfiles de tráfico con rutas que imiten las comprobaciones de salud y los registros en plataformas de alojamiento públicas, y correlacionarlos con indicadores C2. En conjunto, estas medidas abordan exactamente los nodos que sustentan la escalabilidad del esquema: instalación rutinaria de dependencias, ejecución automática durante la instalación/importación y fácil enmascaramiento del tráfico saliente.

Para obtener una imagen completa, recomiendo revisar la exhaustiva lista de Indicadores de Compromiso (IOC), que incluye más de 180 direcciones de correo electrónico de phishing, más de 15 puntos finales C2, más de 300 paquetes npm maliciosos y más de 180 alias npm.

Banner de Weex

Conclusión

Parece que estamos asistiendo a una concentración de amenazas y vulnerabilidades que se han ido desarrollando en los últimos años: la ingeniería social proporciona alcance, npm proporciona un mecanismo de entrega estándar, los cargadores cifrados eliminan parte de los controles estáticos, el enmascaramiento C2 se ajusta a los perfiles de red de desarrolladores ordinarios, y la segunda etapa ejecuta objetivos en el objetivo. Esto significa que cada uno de estos eslabones requiere una atención crítica. Permanezca atento a las últimas actualizaciones y oportunidades de la nueva economía, la criptoindustria y los avances de blockchain.