Эксперты по кибербезопасности сообщили о недавнем всплеске вредоносной активности со стороны связанных с Северной Кореей хакерских группировок, что свидетельствует о скоординированной кампании, нацеленной на экосистему npm. В компании Phylum уточнили, что киберпреступная кампания началась 12 августа 2024 года и включала публикацию вредоносных пакетов npm, предназначенных для проникновения в среды разработки и кражи конфиденциальных данных.
Аналитики сообщают, что недавно обнаруженные пакеты, включая temp-etherscan-api, ethersscan-api и telegram-con, демонстрируют сложные тактики, такие как многоэтапный запутанный JavaScript, который загружает дополнительное вредоносное ПО с удалённых серверов.
Согласно сообщению в блоге, опубликованному сегодня компанией Phylum, вредоносная программа включает скрипты Python и полноценный интерпретатор Python, которые ищут данные в расширениях браузера криптовалютного кошелька, одновременно устанавливая устойчивость на затронутых системах. Примечательно, что пакет qq-console приписывается известной северокорейской кампании под названием «Заразное интервью».
Исследователи выявили ещё один пакет, helmet-validate, опубликованный 23 августа 2024 года, который использует другой метод атаки. Он вставляет код JavaScript, который извлекает и выполняет вредоносный код из удалённой конечной точки, ipcheck[.]cloud. Этот домен связан с предыдущими северокорейскими операциями, включая кампании по поддельным вакансиям с использованием домена mirotalk[.]net, что подчёркивает шаблон повторяющейся тактики.
Самый последний пакет, sass-notification, был опубликован 27 августа 2024 года и связан с кампанией «Moonstone Sleet». Этот пакет использует запутанный JavaScript для запуска скриптов, которые загружают, расшифровывают и выполняют удалённые полезные нагрузки, удаляя следы вредоносной активности и оставляя после себя то, что кажется безвредным программным обеспечением.