Agentes de ameaças com vínculos com a Coreia do Norte foram observados publicando um conjunto de pacotes maliciosos no registro npm, indicando esforços “coordenados e implacáveis” para atingir desenvolvedores com malware e roubar ativos de criptomoeda.
A última onda, observada entre 12 e 27 de agosto de 2024, envolveu pacotes chamados temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate e qq-console.
“Os comportamentos nesta campanha nos levam a acreditar que o qq-console é atribuível à campanha norte-coreana conhecida como 'Entrevista Contagiosa'”, disse a empresa de segurança da cadeia de suprimentos de software program Phylum.
Entrevista Contagiosa refere-se a uma campanha contínua que busca comprometer desenvolvedores de software program com malware para roubo de informações como parte de um suposto processo de entrevista de emprego que envolve induzi-los a baixar pacotes npm falsos ou instaladores falsos para software program de videoconferência, como o MiroTalk, hospedado em websites falsos.
O objetivo last dos ataques é implantar uma carga útil Python chamada InvisibleFerret que pode exfiltrar dados sensíveis de extensões de navegador de carteira de criptomoeda e configurar persistência no host usando software program de desktop remoto legítimo, como AnyDesk. CrowdStrike está rastreando a atividade sob o apelido Well-known Chollima.
O pacote helmet-validate recentemente observado adota uma nova abordagem, pois incorpora um pedaço de arquivo de código JavaScript chamado config.js que executa diretamente o JavaScript hospedado em um domínio remoto (“ipcheck(.)cloud”) usando a função eval().
“Nossa investigação revelou que o ipcheck(.)cloud resolve para o mesmo endereço IP (167(.)88(.)36(.)13) que o mirotalk(.)web resolve quando está on-line”, disse Phylum, destacando possíveis ligações entre os dois conjuntos de ataques.
A empresa disse que também observou outro pacote chamado sass-notification que foi carregado em 27 de agosto de 2024, que compartilhava similaridades com bibliotecas npm descobertas anteriormente, como call-blockflow. Esses pacotes foram atribuídos a outro grupo de ameaças norte-coreano chamado Moonstone Sleet.
“Esses ataques são caracterizados pelo uso de JavaScript ofuscado para escrever e executar scripts em lote e PowerShell”, disse. “Os scripts baixam e descriptografam uma carga remota, executam-na como uma DLL e, em seguida, tentam limpar todos os vestígios de atividade maliciosa, deixando para trás um pacote aparentemente benigno na máquina da vítima.”
Famosos Chollima posam como trabalhadores de TI em empresas dos EUA
A divulgação ocorre no momento em que a CrowdStrike vinculou a Well-known Chollima (antiga BadClone) a operações de ameaças internas que envolvem a infiltração em ambientes corporativos sob o pretexto de emprego legítimo.
“A famosa Chollima realizou essas operações obtendo contrato ou emprego equivalente em tempo integral, usando documentos de identidade falsificados ou roubados para contornar verificações de antecedentes”, disse a empresa. “Ao se candidatar a um emprego, esses insiders maliciosos enviaram um currículo normalmente listando empregos anteriores em uma empresa proeminente, bem como empresas adicionais menos conhecidas e nenhuma lacuna de emprego.”
Embora esses ataques sejam motivados principalmente por questões financeiras, um subconjunto dos incidentes teria envolvido a exfiltração de informações confidenciais. A CrowdStrike disse que identificou os agentes de ameaças que se candidataram ou trabalharam ativamente em mais de 100 empresas exclusivas no ano passado, a maioria das quais está localizada nos EUA, Arábia Saudita, França, Filipinas e Ucrânia, entre outras.
Os setores mais visados incluem tecnologia, fintech, serviços financeiros, serviços profissionais, varejo, transporte, manufatura, seguros, produtos farmacêuticos, mídia social e empresas de mídia.
“Após obter acesso de nível de funcionário às redes das vítimas, os insiders realizaram tarefas mínimas relacionadas à sua função de trabalho”, disse a empresa. Em alguns casos, os insiders também tentaram exfiltrar dados usando Git, SharePoint e OneDrive.”
“Além disso, os insiders instalaram as seguintes ferramentas RMM: RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels e Google Chrome Distant Desktop. Os insiders então alavancaram essas ferramentas RMM em conjunto com credenciais de rede da empresa, o que permitiu que vários endereços IP se conectassem ao sistema da vítima.”
