Criminali informatici che sono legati alla Corea del Nord sono stati osservati pubblicare una serie di pacchetti malevoli nel registro npm, indicando sforzi “coordinati e incessanti” per colpire gli sviluppatori con malware e rubare risorse in criptovalute.
Registro NPM: cos’è in breve
Il registro npm (Node Package Manager) è una piattaforma online che ospita pacchetti di codice JavaScript.
È utilizzato dagli sviluppatori per condividere, distribuire e gestire librerie e moduli di codice che possono essere facilmente integrati nei loro progetti.
Il registro npm facilita l’installazione, l’aggiornamento e la gestione delle dipendenze software, permettendo agli sviluppatori di utilizzare codice preesistente per risparmiare tempo e migliorare l’efficienza nello sviluppo di applicazioni.
Registro NPM cosa si sa dell’attacco
L’ultima ondata, osservata tra il 12 e il 27 agosto 2024, ha coinvolto pacchetti chiamati temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate e qq-console.
“Il comportamento in questa campagna ci porta a credere che qq-console sia attribuibile alla campagna nordcoreana nota come ‘Contagious Interview‘”, ha affermato la società di sicurezza della catena di fornitura del software Phylum, riguardo il registro npm.
Contagious Interview si riferisce a una campagna in corso che mira a compromettere gli sviluppatori di software con malware che rubano informazioni come parte di un presunto processo di colloquio di lavoro, che coinvolge il tentativo di ingannarli a scaricare pacchetti npm falsi o installatori falsi per software di videoconferenza come MiroTalk ospitati su siti web esca.
L’obiettivo finale degli attacchi è distribuire un payload Python chiamato InvisibleFerret che può esfiltrare dati sensibili dalle estensioni dei browser per i portafogli di criptovalute e stabilire la persistenza sul sistema utilizzando software legittimo per desktop remoto come AnyDesk.
CrowdStrike sta monitorando questa attività sotto il nome di Famous Chollima.
Il nuovo pacchetto helmet-validate osservato adotta un nuovo approccio in quanto incorpora un file di codice JavaScript chiamato config.js che esegue direttamente JavaScript ospitato su un dominio remoto (“ipcheck[.]cloud”) utilizzando la funzione eval().
“La nostra indagine ha rivelato che ipcheck[.]cloud si risolve allo stesso indirizzo IP (167[.]88[.]36[.]13) a cui si risolveva mirotalk[.]net quando era online“, ha detto Phylum, evidenziando potenziali collegamenti tra i due set di attacchi.
L’azienda ha anche osservato un altro pacchetto chiamato sass-notification, caricato il 27 agosto 2024, che condivideva somiglianze con librerie npm precedentemente scoperte come call-blockflow e questi pacchetti sono stati attribuiti a un altro gruppo di minacce nordcoreano chiamato Moonstone Sleet.
“Questi attacchi sono caratterizzati dall’uso di JavaScript offuscato per scrivere ed eseguire script batch e PowerShell“, ha affermato l’azienda. “Gli script scaricano e decrittano un payload remoto, lo eseguono come DLL e poi tentano di cancellare tutte le tracce dell’attività malevola, lasciando dietro di sé un pacchetto apparentemente benigno sulla macchina della vittima.”
Gruppo hacker Famous Chollima mette in giro agenti che si fingono operatori nel settore IT
La divulgazione arriva mentre CrowdStrike ha collegato Famous Chollima (precedentemente noto come BadClone) ad operazioni di minacce interne che comportano l’infiltrazione in ambienti aziendali sotto la copertura di un impiego legittimo.
“Famous Chollima ha svolto queste operazioni ottenendo contratti o impieghi a tempo pieno, utilizzando documenti di identità falsificati o rubati per bypassare i controlli di background“, ha affermato l’azienda. “Quando si candidavano per un lavoro, questi interni malevoli presentavano un curriculum che elencava tipicamente impieghi precedenti presso una società importante, nonché altre società meno conosciute e senza interruzioni lavorative.”
Sebbene questi attacchi siano principalmente motivati finanziariamente, si dice che un sottoinsieme di incidenti abbia coinvolto l’esfiltrazione di informazioni sensibili; CrowdStrike ha affermato di aver identificato criminali informatici che si candidavano o lavoravano attivamente in più di 100 aziende uniche nell’ultimo anno, la maggior parte delle quali situate negli Stati Uniti, Arabia Saudita, Francia, Filippine e Ucraina, tra gli altri paesi.
I settori maggiormente presi di mira includono tecnologia, fintech, servizi finanziari, servizi professionali, vendita al dettaglio, trasporti, manifattura, assicurazioni, farmaceutica, social media e media companies.
“Dopo aver ottenuto l’accesso ai network delle vittime a livello di dipendenti, gli interni hanno svolto attività minime legate al loro ruolo lavorativo“, ha aggiunto l’azienda. “In alcuni casi, gli interni hanno anche tentato di esfiltrare dati utilizzando Git, SharePoint e OneDrive.”
“Inoltre, gli interni hanno installato i seguenti strumenti RMM: RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels e Google Chrome Remote Desktop. Gli interni hanno poi utilizzato questi strumenti RMM in tandem con le credenziali di rete aziendale, il ché ha permesso a numerosi indirizzi IP di connettersi al sistema della vittima.”