O ator de ameaça ligado à Coreia do Norte conhecido como Granizo de pedra da lua continuou a enviar pacotes npm maliciosos para o registro de pacotes JavaScript com o objetivo de infectar sistemas Home windows, ressaltando a natureza persistente de suas campanhas.
Os pacotes em questão, harthat-api e harthat-hash, foram publicados em 7 de julho de 2024, de acordo com o Datadog Safety Labs. Ambas as bibliotecas não atraíram nenhum obtain e foram retiradas emblem após um curto período de tempo.
O braço de segurança da empresa de monitoramento de nuvem está rastreando o agente da ameaça sob o nome Harassed Pungsan, que exibe sobreposições com um cluster de atividade maliciosa norte-coreano recém-descoberto, denominado Moonstone Sleet.
“Embora o nome se assemelhe ao pacote Hardhat npm (um utilitário de desenvolvimento Ethereum), seu conteúdo não indica nenhuma intenção de typosquat”, disseram os pesquisadores Sebastian Obregoso e Zack Allen do Datadog. “O pacote malicioso reutiliza código de um repositório GitHub bem conhecido chamado node-config com mais de 6.000 estrelas e 500 forks, conhecido no npm como config.”
Cadeias de ataques orquestradas pelo coletivo adversário são conhecidas por disseminar arquivos ZIP falsos through LinkedIn sob um nome de empresa falso ou websites de freelancers, induzindo alvos em potencial a executar cargas úteis que invocam um pacote npm como parte de uma suposta avaliação de habilidades técnicas.
“Quando carregado, o pacote malicioso usou curl para se conectar a um IP controlado pelo ator e lançar cargas maliciosas adicionais, como SplitLoader”, observou a Microsoft em maio de 2024. “Em outro incidente, o Moonstone Sleet entregou um carregador npm malicioso que levou ao roubo de credenciais do LSASS.”
Descobertas subsequentes da Checkmarx revelaram que o Moonstone Sleet também estava tentando espalhar seus pacotes por meio do registro npm.
Os pacotes recém-descobertos são projetados para executar um script de pré-instalação especificado no arquivo package deal.json, que, por sua vez, verifica se está sendo executado em um sistema Home windows (“Windows_NT”) e, em seguida, entra em contato com um servidor externo (“142.111.77(.)196”) para baixar um arquivo DLL que é carregado lateralmente usando o binário rundll32.exe.
A DLL desonesta, por sua vez, não realiza nenhuma ação maliciosa, o que sugere uma execução de teste de sua infraestrutura de entrega de carga útil ou que ela foi inadvertidamente enviada ao registro antes de incorporar código malicioso nele.
O desenvolvimento ocorre enquanto o Centro Nacional de Segurança Cibernética (NCSC) da Coreia do Sul alerta sobre ataques cibernéticos realizados por grupos de ameaças norte-coreanos rastreados como Andariel e Kimsuky para distribuir famílias de malware como Dora RAT e TrollAgent (também conhecido como Troll Stealer) como parte de campanhas de intrusão destinadas aos setores de construção e máquinas no país.
A sequência de ataque Dora RAT é notável pelo fato de que os hackers do Andariel exploraram vulnerabilidades no mecanismo de atualização de software program de um software program VPN doméstico para propagar o malware.
