Новости Три пакета, сотни загрузок: КНДР внедряет BeaverTail в репозитории для разработчиков

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Когда обычный JavaScript-загрузчик превращается в инструмент шпионажа.


2hine3t1r7fpfs2esqjr51ah4gu3ht3k.jpg


Три вредоносных пакета, опубликованных в npm -репозитории в сентябре 2024 года, содержали известное вредоносное ПО BeaverTail — загрузчик на JavaScript и инструмент для кражи данных, связанный с северокорейской кампанией под названием «Contagious Interview».

Команда Datadog Security Research Для просмотра ссылки Войди или Зарегистрируйся злоумышленников под кодовым именем «Tenacious Pungsan», также известную как CL-STA-0240 и Famous Chollima. Пакеты, распространявшие вредоносное ПО, уже удалены из репозитория npm. Среди них были:

  • passports-js (вредоносная копия библиотеки «passport», 118 загрузок);
  • bcrypts-js (вредоносная копия «bcryptjs», 81 загрузка);
  • blockscan-api (вредоносная копия «etherscan-api», 124 загрузки).
«Contagious Interview» — это многомесячная кампания, в рамках которой злоумышленники обманывают разработчиков, предлагая загрузить вредоносные файлы или использовать фальшивые приложения для видеоконференций под видом тестовых заданий. Кампания впервые была выявлена в ноябре 2023 года.

Подобные атаки через npm-пакеты уже наблюдались ранее. В августе 2024 года компания Phylum обнаружила другие заражённые пакеты, включая temp-etherscan-api и telegram-con, которые использовались для установки BeaverTail и Python-бэкдора под названием InvisibleFerret. Продолжающиеся попытки имитировать пакет etherscan-api указывают на постоянный интерес преступников к криптовалютному сектору.

Кроме того, в сентябре 2024 года компания Stacklok сообщила о выявлении новых вредоносных пакетов — eslint-module-conf и eslint-scope-util, направленных на сбор криптовалют и обеспечение постоянного доступа к машинам разработчиков. По данным Unit 42 (Palo Alto Networks), злоумышленники активно используют доверие соискателей, чтобы распространять вредоносное ПО через вакансии и тестовые задания.

Эксперты подчёркивают растущий риск, связанный с открытыми репозиториями. Модификация легитимных пакетов npm для внедрения вредоносного кода становится распространённой тактикой, а разработчики продолжают оставаться ключевой целью северокорейских хакеров.
 
Источник новости
www.securitylab.ru

Похожие темы