Bedrohungsakteure mit Verbindungen zu Nordkorea wurden beim Veröffentlichen einer Reihe von schädlichen Paketen im npm-Verzeichnis beobachtet, was auf „koordinierte und unerbittliche“ Bemühungen hindeutet, Entwickler mit Malware anzugreifen und Kryptowährungsvermögen zu stehlen.
Die jüngste Welle, die zwischen dem 12. und 27. August 2024 beobachtet wurde, umfasste Pakete namens temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate und qq-console.
„Das Verhalten in dieser Kampagne lässt uns glauben, dass qq-console der nordkoreanischen Kampagne, die als ‚Contagious Interview‘ bekannt ist, zuzuschreiben ist“, sagte das Software-Lieferketten-Sicherheitsunternehmen Phylum.
Contagious Interview bezieht sich auf eine laufende Kampagne, die darauf abzielt, Softwareentwickler mit Informationsstehender Malware zu kompromittieren, als Teil eines angeblichen Jobinterviewprozesses, der sie dazu verleitet, gefälschte npm-Pakete oder gefälschte Installationsprogramme für Videokonferenzsoftware wie MiroTalk herunterzuladen, die auf Köder-Websites gehostet werden.
Das Endziel der Angriffe ist es, eine Python-Nutzlast namens InvisibleFerret bereitzustellen, die sensible Daten aus Browsererweiterungen für Kryptowährungs-Geldbörsen exfiltrieren und mithilfe legitimer Remote-Desktop-Software wie AnyDesk eine Persistenz auf dem Host einrichten kann. CrowdStrike verfolgt die Aktivität unter dem Namen Famous Chollima.
Das neu beobachtete Paket helmet-validate verfolgt einen neuen Ansatz, indem es eine JavaScript-Codedatei namens config.js einbettet, die JavaScript direkt auf einer Remote-Domäne („ipcheck[.]cloud“) mithilfe der Funktion eval() ausführt.
„Unsere Untersuchung ergab, dass ipcheck[.]cloud auf die gleiche IP-Adresse (167[.]88[.]36[.]13) aufgelöst wird, auf die mirotalk[.]net aufgelöst wurde, als es online war“, sagte Phylum und hob potenzielle Verbindungen zwischen den beiden Angriffssätzen hervor.
Das Unternehmen sagte, es habe auch ein anderes Paket namens sass-notification beobachtet, das am 27. August 2024 hochgeladen wurde und Ähnlichkeiten mit zuvor aufgedeckten npm-Bibliotheken wie call-blockflow aufwies. Diese Pakete wurden einer anderen nordkoreanischen Bedrohungs-Gruppe namens Moonstone Sleet zugeschrieben.
„Diese Angriffe zeichnen sich durch die Verwendung von verschleiertem JavaScript aus, um Batch- und PowerShell-Skripte zu schreiben und auszuführen“, heißt es. „Die Skripte laden eine Remote-Nutzlast herunter und entschlüsseln sie, führen sie als DLL aus und versuchen dann, alle Spuren bösartiger Aktivitäten zu bereinigen, wodurch ein scheinbar harmloses Paket auf dem Computer des Opfers zurückbleibt.“
Famous Chollima gibt sich als IT-Mitarbeiter in US-Unternehmen aus
Die Offenlegung erfolgt, nachdem CrowdStrike Famous Chollima (früher BadClone) mit Insider-Bedrohungs-Operationen in Verbindung gebracht hat, die die Infiltration von Unternehmensumgebungen unter dem Vorwand legitimer Beschäftigung beinhalten.
„Famous Chollima führte diese Operationen durch, indem es Vertrags- oder Vollzeitbeschäftigung erlangte und gefälschte oder gestohlene Ausweisdokumente verwendete, um Hintergrundprüfungen zu umgehen“, sagte das Unternehmen. „Bei der Bewerbung um eine Stelle reichten diese bösartigen Insider einen Lebenslauf ein, in dem in der Regel eine vorherige Beschäftigung bei einem prominenten Unternehmen sowie bei weiteren weniger bekannten Unternehmen und keine Beschäftigungslücken aufgeführt waren.“
Während diese Angriffe hauptsächlich finanziell motiviert sind, soll eine Teilmenge der Vorfälle die Exfiltration sensibler Informationen beinhaltet haben. CrowdStrike sagte, es habe die Bedrohungsakteure identifiziert, die sich in den letzten Jahren bei mehr als 100 verschiedenen Unternehmen beworben haben oder dort arbeiten, von denen die meisten in den USA, Saudi-Arabien, Frankreich, den Philippinen und der Ukraine unter anderem ansässig sind.
Zu den prominenten Zielsektoren gehören Technologie-, Fintech-, Finanzdienstleistungs-, Professional-Service-, Einzelhandels-, Transport-, Produktions-, Versicherungs-, Pharma-, Social-Media- und Medienunternehmen.
„Nachdem die Insider auf Mitarbeiter-Ebene Zugang zu den Netzwerken der Opfer erlangt hatten, führten sie nur minimale Aufgaben im Zusammenhang mit ihrer Rolle aus“, sagte das Unternehmen weiter. In einigen Fällen versuchten die Insider auch, Daten mithilfe von Git, SharePoint und OneDrive zu exfiltrieren.“
„Darüber hinaus installierten die Insider die folgenden RMM-Tools: RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels und Google Chrome Remote Desktop. Die Insider nutzten diese RMM-Tools dann zusammen mit Anmeldeinformationen des Unternehmensnetzwerks, was es zahlreichen IP-Adressen ermöglichte, eine Verbindung zum System des Opfers herzustellen.“