This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
北朝鮮のNpmマルウェアが偽の職業面接で開発者を標的に
ホームニュース* 研究者たちは、北朝鮮の脅威活動者に関連する35の新しい悪意のあるnpmパッケージを発見しました。
各パッケージには、インストール後にホストコンピュータに関する情報を収集する16進エンコードのローダーであるHexEvalと呼ばれるツールが含まれています。HexEvalは、BeaverTailと呼ばれる別の悪意のあるプログラムを選択的に展開し、InvisibleFerretと呼ばれるPythonベースのバックドアをダウンロードして実行することができます。このシーケンスにより、ハッカーは機密データを盗み、感染したシステムをリモートで制御することができます。「この入れ子構造はキャンペーンが基本的な静的スキャナーや手動レビューを回避するのに役立ちます」と、Socketの研究者キリル・ボイチェンコは述べています。
このキャンペーンは、脅威の行為者がLinkedInのようなプラットフォームでリクルーターを装うときにしばしば始まります。彼らはソフトウェアエンジニアに連絡し、これらのnpmパッケージが埋め込まれたGitHubやBitbucketにホストされたプロジェクトへのリンクを介して偽のジョブアサインメントを送信します。被害者はその後、これらのプロジェクトをダウンロードして実行するように説得され、時には安全な環境の外で実行されます。
2023年後半にパロアルトネットワークスのUnit 42が初めて詳述した「Contagious Interview」作戦は、主に暗号通貨とデータ窃盗を目的として、開発者マシンへの不正アクセスを狙っています。このキャンペーンは、CL-STA-0240、DeceptiveDevelopment、Gwisin Gangなどの名前でも知られています。
Socketは、現在の攻撃者の戦術がマルウェアを含むオープンソースパッケージ、カスタマイズされたソーシャルエンジニアリング、そしてセキュリティシステムを回避するための多層的な配信メカニズムを組み合わせていると報告しています。このキャンペーンは継続的に洗練されており、クロスプラットフォームのキーロガーや新しいマルウェア配信技術が追加されています。
最近の活動には、ClickFixというソーシャルエンジニアリング戦略の使用が含まれており、GolangGhostやPylangGhostなどのマルウェアを配信します。このサブキャンペーン、ClickFake Interviewは、必要に応じてより深い監視のためにカスタマイズされたペイロードで開発者を引き続きターゲットにしています。
####前の記事:
-広告-