Los actores de amenaza de Corea del Norte detrás de la campaña de entrevistas contagiosas en curso están difundiendo sus tentáculos en el ecosistema NPM publicando más paquetes maliciosos que entregan el malware Beaverail, así como un nuevo cargador de troyano de acceso remoto (RAT).
«Estas últimas muestras emplean la codificación de cadenas hexadecimales para evadir los sistemas de detección automatizados y las auditorías de código manual, lo que indica una variación en las técnicas de obstrucción de los actores de amenazas», dijo el investigador de seguridad Kirill Boychenko en un informe.
Los paquetes en cuestión, que se descargaron colectivamente más de 5,600 veces antes de su eliminación, se enumeran a continuación –
- validador de matriz vacía
- Twitterapis
- Dev-debgger-vite
- ronquido
- Núcleo -ino
- eventos-UTILS
- código de icloud
- cloque
- clog de nodo
- consolidate-log
- consolidate-legger
La divulgación se produce casi un mes después de que se descubrieron un conjunto de seis paquetes NPM distribuyendo Beaverail, un robador de JavaScript que también es capaz de entregar una puerta trasera basada en Python denominada InvisibleFerret.
El objetivo final de la campaña es infiltrarse en los sistemas de desarrolladores bajo la apariencia de un proceso de entrevista de trabajo, robar datos confidenciales, los activos financieros de sifón y mantener el acceso a largo plazo a los sistemas comprometidos.
Las bibliotecas de NPM recientemente identificadas se disfrazan de servicios públicos y depugadores, con una de ellas, Dev-DeBugger-Vite, utilizando una dirección de comando y control (C2) previamente marcada por SecurityScorecard, según lo utilizado por el Grupo Lázaro en un circuito Phantom de campaña en un Circuito Phantom en diciembre de 2024.
Lo que hace que estos paquetes se destaquen es que algunos de ellos, como eventos-utilos y iCloud-cod, están vinculados a los repositorios de Bitbucket, en lugar de GitHub. Además, se ha encontrado que el paquete iCloud-Cod está alojado dentro de un directorio llamado «Eiwork_hire», reiterando el uso del actor de la amenaza de temas relacionados con la entrevista para activar la infección.
Un análisis de los paquetes, CLN-Logger, Node-Clog, Consolidate-Log y Consolidate-Logger, también ha descubierto variaciones menores a nivel de código, lo que indica que los atacantes están publicando múltiples variantes de malware en un intento por aumentar la tasa de éxito de la campaña.
Independientemente de los cambios, el código malicioso incrustado dentro de los cuatro paquetes funciona como un cargador de troyano de acceso remoto (rata) que es capaz de propagar una carga útil de la próxima etapa desde un servidor remoto.
«Los actores de amenaza de entrevista contagiosos continúan creando nuevas cuentas de NPM y desplegan código malicioso en plataformas como el Registro de NPM, GitHub y Bitbucket, demostrando su persistencia y no muestra signos de desaceleración», dijo Boychenko.
«El grupo avanzado de amenaza persistente (APT) está diversificando sus tácticas: publicar un nuevo malware con alias frescas, alojando cargas útiles en repositorios de Github y Bitbucket, y reutilizando componentes centrales como Beaveavail e InvisibleFerret junto con la variante de rata/cargador recién observada».
Beavertail gots Tropidoor
El descubrimiento de los nuevos paquetes NPM se produce cuando la compañía de seguridad cibernética de Corea del Sur, AhnLab, detalló una campaña de phishing con temática de reclutamiento que ofrece Beaverail, que luego se usa para implementar una transmisión en código de Backdoor de Windows previamente indocumentada. Los artefactos analizados por la firma muestran que Beaverail se está utilizando para atacar activamente a los desarrolladores en Corea del Sur.
El mensaje de correo electrónico, que afirmaba ser de una compañía llamada AutoSquare, contenía un enlace a un proyecto alojado en Bitbucket, instando al destinatario a clonar el proyecto localmente en su máquina para revisar su comprensión del programa.
La aplicación no es más que una biblioteca NPM que contiene Beaverail («TailWind.Config.js») y un malware DLL Downloader («Car.dll»), el último de los cuales es lanzado por JavaScript Stealer y cargador.
Tropidoor es una puerta trasera «que funciona en la memoria a través del descargador» que es capaz de contactar a un servidor C2 para recibir instrucciones que permiten exfiltrar archivos, recopilar información de unidad y archivos, ejecutar y terminar procesos, capturar capturas de pantalla y eliminar o borrar archivos sobrevisurados con datos nulos o basura.
Un aspecto importante del implante es que implementa directamente los comandos de Windows, como Schtasks, Ping y Reg, una característica previamente también observada en otro malware del grupo Lázaro llamado LightlessCan, en sí mismo un sucesor de BlindingCan (también conocido como Airdry, también conocido como Zetanile).
«Los usuarios deben ser cautelosos no solo con los archivos adjuntos de correo electrónico sino también con archivos ejecutables de fuentes desconocidas», dijo Ahnlab.