VietNetwork.Vn

Ba gói phần mềm độc hại được công bố trên sổ đăng ký npm vào tháng 9 năm 2024 đã được phát hiện có chứa phần mềm độc hại đã biết có tên là BeaverTail, một trình tải xuống JavaScript và trình đánh cắp thông tin có liên quan đến một chiến dịch đang diễn ra của Triều Tiên được theo dõi là Contagious Interview.

Nhóm nghiên cứu bảo mật Datadog đang theo dõi hoạt động này dưới tên Tenacious Pungsan, còn được biết đến với tên gọi CL-STA-0240 và Famous Chollima.


Tên của các gói độc hại, không còn có sẵn để tải xuống từ sổ đăng ký gói, được liệt kê bên dưới -

• passports-js, một bản sao ẩn của hộ chiếu (118 lượt tải xuống)
• bcrypts-js, một bản sao có cửa sau của bcryptjs (81 lượt tải xuống)
• blockscan-api, một bản sao có cửa sau của etherscan-api (124 lượt tải xuống)

Contagious Interview là chiến dịch kéo dài một năm do Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) thực hiện, bao gồm việc lừa các nhà phát triển tải xuống các gói độc hại hoặc các ứng dụng hội nghị truyền hình có vẻ vô hại như một phần của bài kiểm tra mã hóa. Lần đầu tiên chiến dịch này được phát hiện vào tháng 11 năm 2023.


Đây không phải là lần đầu tiên những kẻ tấn công sử dụng các gói npm để phân phối BeaverTail. Vào tháng 8 năm 2024, công ty bảo mật chuỗi cung ứng phần mềm Phylum đã tiết lộ một loạt các gói npm khác mở đường cho việc triển khai BeaverTail và một backdoor Python có tên là InvisibleFerret.

Tên của các gói độc hại được xác định tại thời điểm đó là temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate và qq-console. Một khía cạnh chung của hai bộ gói này là nỗ lực liên tục của các tác nhân đe dọa nhằm bắt chước gói etherscan-api, báo hiệu rằng lĩnh vực tiền điện tử là mục tiêu dai dẳng.

Vào tháng trước, Stacklok cho biết họ đã phát hiện ra một làn sóng các gói giả mạo mới – eslint-module-conf và eslint-scope-util – được thiết kế để thu thập tiền điện tử và thiết lập quyền truy cập liên tục vào các máy tính của nhà phát triển bị xâm phạm.

Đầu tháng này, Đơn vị 42 của Palo Alto Networks cho biết với The Hacker News rằng chiến dịch này đã chứng minh là một cách hiệu quả để phát tán phần mềm độc hại bằng cách lợi dụng lòng tin và sự cấp bách của người tìm việc khi nộp đơn xin việc trực tuyến.

Những phát hiện này nêu bật cách các tác nhân đe dọa ngày càng lợi dụng chuỗi cung ứng phần mềm nguồn mở như một phương tiện tấn công để lây nhiễm các mục tiêu tiếp theo.

"Sao chép và cài backdoor các gói npm hợp pháp vẫn là chiến thuật phổ biến của các tác nhân đe dọa trong hệ sinh thái này", Datadog cho biết. "Những chiến dịch này, cùng với Contagious Interview nói chung, nhấn mạnh rằng các nhà phát triển cá nhân vẫn là mục tiêu có giá trị đối với các tác nhân đe dọa có liên quan đến DPRK này".