VietNetwork.Vn

Các tác nhân đe dọa có liên hệ với Triều Tiên đã bị phát hiện đang phát hành một loạt các gói phần mềm độc hại lên sổ đăng ký npm, cho thấy những nỗ lực "có sự phối hợp và không ngừng nghỉ" nhằm nhắm mục tiêu vào các nhà phát triển bằng phần mềm độc hại và đánh cắp tài sản tiền điện tử.

Làn sóng mới nhất, được quan sát từ ngày 12 đến ngày 27 tháng 8 năm 2024, liên quan đến các gói có tên temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate và qq-console.


Công ty bảo mật chuỗi cung ứng phần mềm Phylum cho biết : "Những hành vi trong chiến dịch này khiến chúng tôi tin rằng qq-console có liên quan đến chiến dịch của Triều Tiên có tên gọi là 'Cuộc phỏng vấn lây lan'".

Phỏng vấn lây lan là một chiến dịch đang diễn ra nhằm xâm nhập các nhà phát triển phần mềm bằng phần mềm độc hại đánh cắp thông tin như một phần của quy trình phỏng vấn xin việc được cho là bao gồm việc lừa họ tải xuống các gói npm giả mạo hoặc trình cài đặt giả cho phần mềm hội nghị truyền hình như MiroTalk được lưu trữ trên các trang web giả mạo.

Mục tiêu cuối cùng của các cuộc tấn công là triển khai một tải trọng Python có tên là InvisibleFerret có thể trích xuất dữ liệu nhạy cảm từ tiện ích mở rộng trình duyệt ví tiền điện tử và thiết lập tính bền bỉ trên máy chủ bằng phần mềm máy tính từ xa hợp pháp như AnyDesk. CrowdStrike đang theo dõi hoạt động dưới biệt danh Famous Chollima.

Gói helmet-validate mới được quan sát áp dụng phương pháp mới ở chỗ nó nhúng một đoạn mã JavaScript có tên là config.js thực thi trực tiếp JavaScript được lưu trữ trên miền từ xa ("ipcheck[.]cloud") bằng hàm eval().

Phylum cho biết: "Cuộc điều tra của chúng tôi cho thấy ipcheck[.]cloud phân giải thành cùng một địa chỉ IP (167[.]88[.]36[.]13) mà mirotalk[.]net phân giải thành khi nó trực tuyến", đồng thời nhấn mạnh mối liên hệ tiềm ẩn giữa hai nhóm tấn công này.

Công ty cho biết họ cũng phát hiện một gói khác có tên là sass-notification được tải lên vào ngày 27 tháng 8 năm 2024, có điểm tương đồng với các thư viện npm trước đó đã được phát hiện như call-blockflow. Các gói này được cho là của một nhóm đe dọa khác của Triều Tiên có tên là Moonstone Sleet.

"Những cuộc tấn công này được đặc trưng bởi việc sử dụng JavaScript được mã hóa để viết và thực thi các tập lệnh hàng loạt và PowerShell", công ty cho biết. "Các tập lệnh tải xuống và giải mã một tải trọng từ xa, thực thi nó như một DLL, sau đó cố gắng xóa sạch mọi dấu vết của hoạt động độc hại, để lại một gói có vẻ vô hại trên máy của nạn nhân".

Chollima nổi tiếng đóng giả làm nhân viên CNTT tại các công ty Hoa Kỳ.

Việc tiết lộ này được đưa ra khi CrowdStrike liên kết Famous Chollima (trước đây là BadClone) với các hoạt động đe dọa nội gián nhằm xâm nhập vào môi trường doanh nghiệp với lý do là việc làm hợp pháp.

"Famous Chollima đã thực hiện các hoạt động này bằng cách có được hợp đồng hoặc việc làm toàn thời gian tương đương, sử dụng các giấy tờ tùy thân giả mạo hoặc bị đánh cắp để bỏ qua việc kiểm tra lý lịch", công ty cho biết. "Khi nộp đơn xin việc, những người trong cuộc độc hại này đã nộp một bản lý lịch thường liệt kê việc làm trước đây tại một công ty nổi tiếng cũng như các công ty ít được biết đến khác và không có khoảng trống việc làm".

Trong khi các cuộc tấn công này chủ yếu có động cơ tài chính, một số vụ việc được cho là có liên quan đến việc đánh cắp thông tin nhạy cảm. CrowdStrike cho biết họ đã xác định được những kẻ đe dọa nộp đơn xin việc hoặc đang làm việc tại hơn 100 công ty riêng biệt trong năm qua, hầu hết trong số đó nằm ở Hoa Kỳ, Ả Rập Xê Út, Pháp, Philippines và Ukraine, cùng nhiều công ty khác.

Các lĩnh vực được nhắm mục tiêu nổi bật bao gồm công nghệ, công nghệ tài chính, dịch vụ tài chính, dịch vụ chuyên nghiệp, bán lẻ, vận tải, sản xuất, bảo hiểm, dược phẩm, truyền thông xã hội và các công ty truyền thông.

"Sau khi có được quyền truy cập cấp nhân viên vào mạng lưới nạn nhân, những người trong cuộc đã thực hiện các nhiệm vụ tối thiểu liên quan đến vai trò công việc của họ", công ty cho biết thêm. Trong một số trường hợp, những người trong cuộc cũng cố gắng đánh cắp dữ liệu bằng Git, SharePoint và OneDrive."

"Ngoài ra, những người trong cuộc đã cài đặt các công cụ RMM sau: RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels và Google Chrome Remote Desktop. Sau đó, những người trong cuộc đã tận dụng các công cụ RMM này cùng với thông tin xác thực mạng của công ty, cho phép nhiều địa chỉ IP kết nối với hệ thống của nạn nhân."