Hakerski przenośnik Korei Północnej: Phishing, 338 pakietów npm i ukryta infrastruktura C2

Północnokoreański przenośnik hakerski: Phishing, 338 pakietów npm, ponad 180 aliasów npm i ponad 15 punktów końcowych C2 tworzą cały ekosystem i wykorzystują wiele wspólnych komponentów programistycznych. Wcześniej widzieliśmy grupy północnokoreańskie infiltrujące firmy IT, a także masowe naruszenia popularnych pakietów npm; jednak to dochodzenie pokazuje niezwykle dokładny i spójny schemat oraz bezprecedensową liczbę złośliwych pakietów npm i punktów końcowych C2.

"Contagious Interview nie jest cyberprzestępczym hobby, działa jak linia montażowa lub zagrożenie łańcucha dostaw w modelu fabrycznym"

Weex Banner

Inżynieria społeczna jako główny punkt wejścia dla włamań do systemu

Inny raport z incydentu podkreślił inżynierię społeczną jako kluczowy wektor zagrożenia, a tutaj jest to jeden z głównych elementów. Deweloper otrzymuje wiadomość od rzekomego rekrutera z zadaniem "na wynos". Link prowadzi do repozytorium, archiwum lub dokumentu. Podczas przygotowywania środowiska rozpoczyna się instalacja zależności, która zawiera złośliwy moduł. Ofiara sądzi, że kończy test, ale w rzeczywistości uruchamia etap w łańcuchu dostaw i przekazuje kontrolę programowi ładującemu.

Dostawa i wykonanie są powiązane z instalacją

Punkty uruchomienia są umieszczane w miejscach, w których gwarantuje się ich uruchomienie podczas normalnego rozwoju: haki cyklu życia, takie jak postinstalacja, kod uruchamiany podczas importu i małe opakowania międzyplatformowe. Obecna fala odchodzi od bezpośrednich dropperów w kierunku szyfrowanych loaderów. Mały moduł twardo koduje AES-256-CBC ze stałym kluczem i IV, a duży szyfrogram jest przechowywany wewnątrz pakietu, często w pliku LICENSE. Na etapie instalacji lub importu zawartość jest odszyfrowywana i przekazywana do eval w pamięci. W rezultacie drugi etap nie pozostaje na dysku jako czytelny artefakt, a kontrole statyczne widzą mniej sygnatur niż w przypadku zwykłych pakietów.

Po początkowej detonacji BeaverTail ładuje się do pamięci. Rejestruje hosta, nawiązuje komunikację przez HTTP(S) i, jeśli to konieczne, przez WebSocket, żąda zadań i pobiera drugi etap InvisibleFerret. InvisibleFerret zapewnia wieloplatformowy dostęp w systemach Windows, macOS i Linux, rozszerza zestaw działań na celu i utrzymuje trwałość. Sieć poleceń i kontroli jest zamaskowana jako wywołania usług: front-end jest umieszczony na publicznych platformach z trasami takimi jak /api/ipcheck lub /process-log, back-end działa na VPS ze statycznymi adresami IP. Taki profil ruchu łatwo łączy się z codzienną telemetrią deweloperów i CI, jeśli połączenia wychodzące są domyślnie dozwolone.

Powierzchnia ataku jest szersza niż zwykła lista kilku bibliotek

Kompromis osiąga się poprzez zależności, które deweloperzy instalują odruchowo w bardzo różnych stosach: serwerach i modułach narzędziowych, łańcuchu narzędzi frontendowych i narzędziach kompilacji, a także pakietach SDK Web3 i narzędziach ekosystemu. Występują zarówno rozpoznawalne nazwy, jak i warianty literówek i podobieństwa, co ma kluczowe znaczenie w prototypach i zadaniach domowych, w których autouzupełnianie i pamięć mięśniowa często zastępują staranną weryfikację.

Ilustrujące przykłady z analizowanych przypadków obejmują narzędzia do rejestrowania, analizowania żądań i tworzenia motywów CSS, a także pakiety, w których wieloetapowy infostealer i program ładujący zaszyfrowany AES zostały zidentyfikowane podczas instalacji. Ważne jest, aby zrozumieć skalę: konkretne nazwy ilustrują podejście, ale nie wyczerpują zakresu, który jest mierzony w setkach publikacji i jest regularnie aktualizowany.

Osobny słaby punkt pojawia się na poziomie zarządzania ekosystemem

Po usunięciu jednej złośliwej publikacji konto może kontynuować publikowanie pod tą samą nazwą i za pośrednictwem tego samego kanału dystrybucji, co pozwala na szybki powrót nowego pakietu z tymi samymi celami. Dla obrony oznacza to, że neutralizacja musi podążać za operatorem, a nie za nazwą artefaktu: grupowanie według cech infrastruktury i wzorców kodu daje większy efekt niż usuwanie jednego po drugim.

Ostateczny cel ekonomiczny jest jasny. Kradzież kryptowalut i tajemnic z późniejszym praniem poprzez kaskady mikserów, wymianę między łańcuchami i mało widoczne sieci. Celem są jednak inżynierowie, którzy z większym prawdopodobieństwem mają dostęp do portfeli, kluczy i konfiguracji infrastruktury.

Jak zespoły programistyczne powinny reagować na taką skalę podatności?

Chociaż jest to niezwykle duży kompromis w całym ekosystemie programistycznym, zapewnia on bezcenne wnioski dla zespołów programistycznych, w których każdy etap łańcucha zabijania ma obserwowalne znaki i techniczne punkty interwencji. Przed integracją kodu ważne jest, aby traktować każdy zewnętrzny artefakt jako potencjalny punkt wykonania, przypinać wersje oraz weryfikować pochodzenie i zaufanie opiekuna. W czasie instalacji krytyczne są ograniczenia dotyczące postinstalacji i innych automatycznych haków, a także blokady odszyfrowywania i analizowania oraz nieoczekiwanych połączeń wychodzących, a także minimalizowanie uprawnień sieciowych procesów instalacyjnych.

Podczas uruchamiania po stronie sieci przydatne jest wyodrębnienie profili ruchu z trasami imitującymi kontrole kondycji i dzienniki na publicznych platformach hostingowych oraz skorelowanie ich ze wskaźnikami C2. W sumie środki te dotyczą dokładnie tych węzłów, które podtrzymują skalowalność systemu: rutynowej instalacji zależności, automatycznego wykonywania podczas instalacji/importu i łatwego maskowania ruchu wychodzącego.

Aby uzyskać pełny obraz sytuacji, polecam przejrzenie wyczerpującej listy Indicators of Compromise (IOC), która obejmuje ponad 180 phishingowych adresów e-mail, ponad 15 punktów końcowych C2, ponad 300 złośliwych pakietów npm i ponad 180 aliasów npm.

Baner Weex

Podsumowanie

Wygląda na to, że obserwujemy koncentrację zagrożeń i luk w zabezpieczeniach, które rozwijały się w ostatnich latach: inżynieria społeczna zapewnia zasięg, npm zapewnia standardowy mechanizm dostarczania, zaszyfrowane programy ładujące usuwają część kontroli statycznych, maskowanie C2 pasuje do zwykłych profili sieciowych programistów, a drugi etap wykonuje cele na celu. Oznacza to, że każde z tych ogniw wymaga krytycznej uwagi. Bądź na bieżąco z najnowszymi aktualizacjami i możliwościami w nowej gospodarce, branży kryptowalut i rozwoju blockchain.