Группа северокорейских киберугроз, известная по кампании "Contagious Interview", распространяет вредоносное ПО через экосистему npm, маскируясь под инструменты для прохождения собеседований. За основу атаки взяты 11 вредоносных пакетов, которые суммарно были скачаны более 5 600 раз до их удаления.
BeaverTail представляет собой JavaScript-стилер, способный доставлять Python-бэкдор InvisibleFerret, а также новый загрузчик RAT, получающий следующий этап атаки с удалённого сервера. Хакеры активно используют обфускацию посредством шестнадцатеричного кодирования строк для обхода систем автоматического обнаружения и ручного анализа кода.
В арсенале злоумышленников оказались пакеты empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log и consolidate-logger. Отмечается, что пакеты events-utils и icloud-cod размещены в репозиториях на Bitbucket, а icloud-cod находится в директории "eiwork_hire", что подчеркивает тематику собеседования.
Особый интерес представляет пакет dev-debugger-vite, использующий командный и управляющий (C2) адрес, ранее задокументированный SecurityScorecard. Этот адрес уже применялся группой Lazarus в декабрьской кампании "Phantom Circuit" 2024 года, что свидетельствует о взаимосвязях между различными кибероперациями.
Злоумышленники продолжают создавать новые учетные записи на npm и размещать вредоносный код на платформах npm, GitHub и Bitbucket, варьируя даже незначительные элементы кода для повышения эффективности атак. Исследователь Socket Security Кирилл Бойченко отмечает, что постоянство и диверсификация методов указывают на высокий уровень профессионализма атакующих.
Южнокорейская компания AhnLab выявила кампанию "BeaverTail Drops Tropidoor", в рамках которой фишинговые письма, оформленные как приглашения на собеседование от компании AutoSquare, ссылаются на проект, размещённый на Bitbucket. Вложенная npm-библиотека содержит конфигурационный файл tailwind.config.js, BeaverTail и DLL-мальварь car.dll, что приводит к развёртыванию ранее неизвестного Windows-бэкдора Tropidoor.
Tropidoor функционирует в оперативной памяти через загрузчик и способен получать команды с удалённого сервера, осуществляя эксфильтрацию файлов, сбор информации о дисках и процессах, создание скриншотов, а также удаление или перезапись данных с помощью команд schtasks, ping и reg. Эти возможности схожи с функционалом LightlessCan группы Lazarus, что подчеркивает характер сложных атак APT и настоятельную необходимость соблюдать осторожность при работе с вложениями и исполняемыми файлами из ненадежных источников.
Изображение носит иллюстративный характер
BeaverTail представляет собой JavaScript-стилер, способный доставлять Python-бэкдор InvisibleFerret, а также новый загрузчик RAT, получающий следующий этап атаки с удалённого сервера. Хакеры активно используют обфускацию посредством шестнадцатеричного кодирования строк для обхода систем автоматического обнаружения и ручного анализа кода.
В арсенале злоумышленников оказались пакеты empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log и consolidate-logger. Отмечается, что пакеты events-utils и icloud-cod размещены в репозиториях на Bitbucket, а icloud-cod находится в директории "eiwork_hire", что подчеркивает тематику собеседования.
Особый интерес представляет пакет dev-debugger-vite, использующий командный и управляющий (C2) адрес, ранее задокументированный SecurityScorecard. Этот адрес уже применялся группой Lazarus в декабрьской кампании "Phantom Circuit" 2024 года, что свидетельствует о взаимосвязях между различными кибероперациями.
Злоумышленники продолжают создавать новые учетные записи на npm и размещать вредоносный код на платформах npm, GitHub и Bitbucket, варьируя даже незначительные элементы кода для повышения эффективности атак. Исследователь Socket Security Кирилл Бойченко отмечает, что постоянство и диверсификация методов указывают на высокий уровень профессионализма атакующих.
Южнокорейская компания AhnLab выявила кампанию "BeaverTail Drops Tropidoor", в рамках которой фишинговые письма, оформленные как приглашения на собеседование от компании AutoSquare, ссылаются на проект, размещённый на Bitbucket. Вложенная npm-библиотека содержит конфигурационный файл tailwind.config.js, BeaverTail и DLL-мальварь car.dll, что приводит к развёртыванию ранее неизвестного Windows-бэкдора Tropidoor.
Tropidoor функционирует в оперативной памяти через загрузчик и способен получать команды с удалённого сервера, осуществляя эксфильтрацию файлов, сбор информации о дисках и процессах, создание скриншотов, а также удаление или перезапись данных с помощью команд schtasks, ping и reg. Эти возможности схожи с функционалом LightlessCan группы Lazarus, что подчеркивает характер сложных атак APT и настоятельную необходимость соблюдать осторожность при работе с вложениями и исполняемыми файлами из ненадежных источников.
