Nordkoreanische Hacker verbreiten BeaverTail-Malware über bösartige npm-Pakete
Eine neue Angriffswelle nordkoreanischer Hacker zielt mit bösartigen npm-Paketen auf die Softwareentwickler-Community ab. Diese Pakete, die mit der laufenden Contagious-Interview-Kampagne in Verbindung stehen, sollen die Schadsoftware BeaverTail sowie einen neu entdeckten Remote Access Trojan (RAT) Loader verbreiten . Diese Kampagne ist Teil einer umfassenderen Kampagne der Lazarus Group, die darauf abzielt, Systeme zu infiltrieren, sensible Daten zu stehlen und sich langfristig Zugriff auf kompromittierte Geräte zu sichern.
Inhaltsverzeichnis
Verschleierungstechniken zur Vermeidung der Erkennung
Laut Socket-Sicherheitsforscher Kirill Boychenko verwenden diese neuesten Samples hexadezimale String-Kodierung als Verschleierungstechnik, wodurch sie sowohl für automatisierte Systeme als auch für manuelle Code-Audits schwerer zu erkennen sind. Diese Aktualisierung der Umgehungsstrategie der Malware zeigt eine deutliche Weiterentwicklung der Methoden der Angreifer, Sicherheitsmaßnahmen zu umgehen.
Schädliche Pakete, die sich als Entwicklertools tarnen
Die schädlichen npm-Pakete wurden über 5.600 Mal heruntergeladen, bevor sie entfernt wurden. Zu den gefährlichen Paketen gehörten unter anderem empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log und consolidate-logger. Diese Pakete sollten sich als legitime Dienstprogramme oder Debugger tarnen, enthielten aber tatsächlich schädliche Payloads.
Datendiebstahl durch gefälschte Vorstellungsgespräche
Diese Offenlegung folgt einem ähnlichen Vorfall einen Monat zuvor, als sechs npm-Pakete entdeckt wurden, die BeaverTail verbreiteten, einen JavaScript-Stealer, der auch eine Python-basierte Backdoor namens InvisibleFerret enthielt. Das ultimative Ziel dieser Angriffe ist es, Entwicklersysteme unter dem Deckmantel von Bewerbungsprozessen zu infiltrieren. Dort stiehlt die Malware vertrauliche Informationen, entwendet Finanzmittel und ermöglicht Hackern dauerhaften Zugriff auf die kompromittierten Systeme.
Links zur Lazarus Group und Phantom Circuit Campaign
Ein bemerkenswertes Paket, dev-debugger-vite, verwendete eine Command-and-Control-Adresse (C2), die SecurityScorecard zuvor im Rahmen einer Kampagne namens Phantom Circuit im Dezember 2024 als mit der Lazarus-Gruppe verbunden markiert hatte. Andere Pakete, wie events-utils und icloud-cod, waren mit Bitbucket-Repositories verknüpft und wichen damit von den üblichen GitHub-Zielen früherer Kampagnen ab. Diese Verschiebung sowie das im icloud-cod-Paket gefundene Verzeichnis „eiwork_hire“ deuten darauf hin, dass die Angreifer weiterhin auf Vorstellungsgespräche bezogene Taktiken zur Aktivierung der Infektion anwenden.
Mehrere Varianten für maximalen Infektionserfolg
Eine Analyse einiger Pakete, darunter cln-logger, node-clog, consolidate-log und consolidate-logger, ergab kleine Abweichungen im Code. Diese Änderungen deuten darauf hin, dass die Angreifer versuchen, die Erfolgsquote ihrer Kampagne durch den Einsatz mehrerer Malware-Varianten zu erhöhen. Trotz dieser Unterschiede fungiert der eingebettete Code dieser vier Pakete als RAT-Loader, der zusätzliche Payloads von Remote-Servern abrufen und ausführen kann. Die genaue Art der geladenen Malware ist zum jetzigen Zeitpunkt noch unklar, da die C2-Endpunkte zum Zeitpunkt der Untersuchung keine Payloads mehr bereitstellten.
RAT Loader ermöglicht Fernsteuerung infizierter Systeme
Boychenko beschrieb den Schadcode als einen aktiven Loader mit RAT-Funktionen, der eval() nutzt, um JavaScript aus der Ferne abzurufen und auszuführen. Diese Methode ermöglicht es den Angreifern, beliebige Folge-Malware zu verbreiten, was den RAT-Loader selbst zu einer erheblichen Bedrohung macht.
Ansteckende Interviewkampagne zeigt keine Anzeichen einer Verlangsamung
Diese Ergebnisse unterstreichen die Hartnäckigkeit der Contagious-Interview-Kampagne. Die Angreifer zeigen keine Anzeichen einer Verlangsamung, erstellen weiterhin neue npm-Konten und verbreiten Schadcode auf verschiedenen Plattformen wie npm, GitHub und Bitbucket. Sie haben ihre Taktiken diversifiziert, veröffentlichen neue Malware unter verschiedenen Decknamen, nutzen verschiedene Repositories und setzen bekannte Malware-Varianten wie BeaverTail und InvisibleFerret neben neueren RAT/Loader-Varianten ein.
Tropidoor-Malware taucht bei auf Entwickler ausgerichteten Phishing-Angriffen auf
Das südkoreanische Cybersicherheitsunternehmen AhnLab hat kürzlich einen weiteren Aspekt der Kampagne aufgedeckt. Es identifizierte einen Phishing-Angriff mit dem Ziel der Personalbeschaffung, der BeaverTail ausliefert und anschließend eine bislang undokumentierte Windows-Backdoor namens Tropidoor einsetzt. Diese Backdoor, die über eine auf Bitbucket gehostete npm-Bibliothek bereitgestellt wird, kann eine Vielzahl bösartiger Aktionen ausführen. Tropidoor kann Dateien exfiltrieren, Informationen über Laufwerke und Dateien sammeln, Prozesse ausführen, Screenshots erstellen und sogar Dateien löschen oder mit NULL- oder Junk-Daten überschreiben.
Erweiterte Funktionen schlagen Link zu bekannter Lazarus-Malware vor
Die Analyse von AhnLab ergab, dass Tropidoor über einen Downloader im Speicher arbeitet und einen C2-Server kontaktiert, um Anweisungen zu empfangen. Die Malware verwendet direkt Windows-Befehle wie Schtasks, Ping und Reg, die auch bei anderer Malware der Lazarus-Gruppe, wie beispielsweise LightlessCan, beobachtet wurden. Dieser Zusammenhang verbindet die aktuelle Aktivität weiter mit der nordkoreanischen Gruppe, die für ihre ausgeklügelten Cyberspionage-Taktiken berüchtigt ist.
Entwickler werden aufgefordert, wachsam gegenüber Supply-Chain-Angriffen zu bleiben
Die jüngsten Enthüllungen unterstreichen die anhaltende Bedrohung durch die Lazarus Group und andere APT-Akteure. Entwickler und Nutzer müssen beim Herunterladen von Paketen oder Öffnen von Dateien aus unbekannten oder verdächtigen Quellen gleichermaßen vorsichtig sein. Da sich diese Angriffe ständig weiterentwickeln, ist es unerlässlich, wachsam gegenüber Phishing-Kampagnen zu bleiben und Abhängigkeiten auf Schadcode zu überprüfen, um zu verhindern, dass vertrauliche Informationen in die falschen Hände geraten.