Los actores de amenaza de Corea del Ártico detrás de la campaña de entrevistas contagiosas en curso están difundiendo sus tentáculos en el ecosistema NPM publicando más paquetes maliciosos que entregan el malware Beaverail, así como un nuevo cargador de troyano de comunicación remoto (RAT).
«Estas últimas muestras emplean la codificación de cadenas hexadecimales para sortear los sistemas de detección automatizados y las auditorías de código manual, lo que indica una variación en las técnicas de obstrucción de los actores de amenazas», dijo el investigador de seguridad Kirill Boychenko en un mensaje.
Los paquetes en cuestión, que se descargaron colectivamente más de 5,600 veces antiguamente de su asesinato, se enumeran a continuación –
- validador de matriz vacía
- Twitterapis
- Dev-debgger-vite
- ronquido
- Núcleo -ino
- eventos-UTILS
- código de icloud
- cloque
- clog de nodo
- consolidate-log
- consolidate-legger
La divulgación se produce casi un mes a posteriori de que se descubrieron un conjunto de seis paquetes NPM distribuyendo Beaverail, un robador de JavaScript que todavía es capaz de entregar una puerta trasera basada en Python denominada InvisibleFerret.
El objetivo final de la campaña es infiltrarse en los sistemas de desarrolladores bajo la apariencia de un proceso de entrevista de trabajo, robar datos confidenciales, los activos financieros de sifón y permanecer el comunicación a dadivoso plazo a los sistemas comprometidos.
Las bibliotecas de NPM recientemente identificadas se disfrazan de servicios públicos y depugadores, con una de ellas, Dev-DeBugger-Vite, utilizando una dirección de comando y control (C2) previamente marcada por SecurityScorecard, según lo utilizado por el Camarilla Lázaro en un circuito Phantom de campaña en un Circuito Phantom en diciembre de 2024.
Lo que hace que estos paquetes se destaquen es que algunos de ellos, como eventos-utilos y iCloud-cod, están vinculados a los repositorios de Bitbucket, en división de GitHub. Encima, se ha antagónico que el paquete iCloud-Cod está alojado interiormente de un directorio llamado «Eiwork_hire», reiterando el uso del actor de la amenaza de temas relacionados con la entrevista para activar la infección.
Un observación de los paquetes, CLN-Logger, Node-Clog, Consolidate-Log y Consolidate-Logger, todavía ha descubierto variaciones menores a nivel de código, lo que indica que los atacantes están publicando múltiples variantes de malware en un intento por aumentar la tasa de éxito de la campaña.
Independientemente de los cambios, el código zorro incrustado interiormente de los cuatro paquetes funciona como un cargador de troyano de comunicación remoto (rata) que es capaz de propagar una carga útil de la próxima etapa desde un servidor remoto.
«Los actores de amenaza de entrevista contagiosos continúan creando nuevas cuentas de NPM y desplegan código zorro en plataformas como el Registro de NPM, GitHub y Bitbucket, demostrando su persistencia y no muestra signos de desaceleración», dijo Boychenko.
«El orden renovador de amenaza persistente (APT) está diversificando sus tácticas: difundir un nuevo malware con mote frescas, alojando cargas aperos en repositorios de Github y Bitbucket, y reutilizando componentes centrales como Beaveavail e InvisibleFerret adyacente con la variación de rata/cargador recién observada».
Beavertail gots Tropidoor
El descubrimiento de los nuevos paquetes NPM se produce cuando la compañía de seguridad cibernética de Corea del Sur, AhnLab, detalló una campaña de phishing con temática de reemplazo que ofrece Beaverail, que luego se usa para implementar una transmisión en código de Backdoor de Windows previamente indocumentada. Los artefactos analizados por la firma muestran que Beaverail se está utilizando para atacar activamente a los desarrolladores en Corea del Sur.
El mensaje de correo electrónico, que afirmaba ser de una compañía convocatoria AutoSquare, contenía un enlace a un tesina alojado en Bitbucket, instando al destinatario a clonar el tesina localmente en su máquina para revisar su comprensión del software.
La aplicación no es más que una biblioteca NPM que contiene Beaverail («TailWind.Config.js») y un malware DLL Downloader («Car.dll»), el extremo de los cuales es enérgico por JavaScript Stealer y cargador.
Tropidoor es una puerta trasera «que funciona en la memoria a través del descargador» que es capaz de contactar a un servidor C2 para percibir instrucciones que permiten exfiltrar archivos, resumir información de pelotón y archivos, ejecutar y terminar procesos, capturar capturas de pantalla y eliminar o borrar archivos sobrevisurados con datos nulos o basura.
Un aspecto importante del implante es que implementa directamente los comandos de Windows, como Schtasks, Ping y Reg, una característica previamente todavía observada en otro malware del orden Lázaro llamado LightlessCan, en sí mismo un sucesor de BlindingCan (todavía conocido como Airdry, todavía conocido como Zetanile).
«Los usuarios deben ser cautelosos no solo con los archivos adjuntos de correo electrónico sino todavía con archivos ejecutables de fuentes desconocidas», dijo Ahnlab.
