Фахівці з кібербезпеки компанії Socket виявили масштабну атаку на екосистему npm, яку здійснили північнокорейські хакери. Зловмисники розмістили 67 шкідливих пакетів, які було завантажено понад 17 000 разів. Основною зброєю кіберзлочинців став новий загрузчик малвару XORIndex, розроблений для компрометації систем розробників програмного забезпечення.
Операція Contagious Interview: довгострокова стратегія соціальної інженерії
Виявлена активність є частиною тривалої шкідливої кампанії Contagious Interview, яка діє з грудня 2022 року. Ця операція представляє собою складну схему соціальної інженерії, де хакери видають себе за рекрутерів і пропонують розробникам фальшиві вакансії. Під час псевдоспівбесіди жертви отримують завдання, які вимагають встановлення шкідливих пакетів.
Поточна хвиля атак стала продовженням зловмисної активності, що спостерігається з квітня 2024 року. Минулого місяця ті ж кіберзлочинці вже впровадили в npm 35 пакетів, які заражали пристрої розробників інфостілерами та бекдорами.
Технічні характеристики загрузчика XORIndex
Шкідливі пакети маскувалися під назви легітимних проектів та бібліотек, що значно ускладнювало їх виявлення. Після встановлення будь-якого з цих пакетів автоматично запускався скрипт postinstall, який активував XORIndex — новий інструмент, що використовується паралельно з раніше відомим загрузчиком HexEval Loader.
Збір інформації про жертву
Загрузчик збирає детальні дані про хост-систему для складання профілю жертви. Ця інформація включає технічні характеристики пристрою, операційну систему, встановлене програмне забезпечення та інші параметри, які можуть бути корисними для подальших атак.
Зв’язок з командним сервером
Зібрані дані передаються на жорстко закодовану адресу керуючого сервера, розміщеного в інфраструктурі компанії Vercel. Використання легітимного хмарного провайдера дозволяє зловмисникам маскувати свою активність і уникати блокування з боку систем безпеки.
Корисне навантаження та кінцеві цілі атак
У відповідь на передану інформацію сервер надає одне або кілька корисних навантажень JavaScript, які виконуються на системі жертви за допомогою функції eval(). Зазвичай ці навантаження представляють собою бекдори BeaverTail та InvisibleFerret, які давно асоціюються з північнокорейськими хакерськими угрупованнями.
Встановлена малварь надає операторам широкі можливості: віддалений доступ до зламаних машин, ексфільтрацію конфіденційних даних, доставку додаткових шкідливих компонентів, крадіжку криптовалютних активів та отримання інформації для атак на компанії-роботодавці.
Адаптивна тактика та ухилення від виявлення
Дослідники відзначають, що північнокорейські хакери демонструють високу адаптивність, використовуючи як перевірені, так і нові інструменти з тонкими модифікаціями. Щоразу, коли npm видаляє виявлені шкідливі пакети, зловмисники повертаються з новими обліковими записами та іменами пакетів.
Такий підхід дозволяє їм підтримувати безперервність атак і постійно обходити системи виявлення. Експерти попереджають, що “захисники повинні очікувати появи нових ітерацій цих загрузчиків у свіжих пакетах, часто з невеликими змінами, які дозволяють обійти виявлення”.
Цей інцидент підкреслює критичну важливість перевірки безпеки пакетів перед їх встановленням і необхідність постійного моніторингу екосистеми npm. Розробникам рекомендується використовувати інструменти сканування залежностей, регулярно оновлювати системи безпеки та проявляти особливу обережність при отриманні пропозицій про роботу від невідомих джерел. Лише комплексний підхід до безпеки може забезпечити ефективний захист від подібних витончених атак.
