NPM恶意包利用招聘诱骗开发人员安装恶意软件
2024-4-28 17:37:5 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

网络安全公司 Securonix 指出,一起社工活动正在通过npm 恶意包以招聘为由攻击软件开发人员,诱骗他们下载 Python 后门。这起活动被称为 “DEV#POPPER”,被指与朝鲜威胁行动者有关。

安全研究员 Den luzvyk、Tim Peck 和 Oleg Kolesnikov 表示,“在这些欺诈性面试活动中,开发人员通常被要求执行多项任务,涉及下载和运行看似合法的源如 GitHub的软件。该软件中包含一个恶意的Node JS payload,一旦被执行,则可攻陷开发人员的系统。”

这起活动的详情首次在2023年11月发现,当时 Palo Alto Networks 公司的 Unit 42 团队详述了名为 “Contagious Interview” 的活动集群。威胁人员在面试中伪装成雇主,在面试过程中诱骗软件开发人员安装恶意软件如 BeaverTail 和 InvisibleFerret等。

今年2月早些时候,Phylum 公司在 npm 注册表中发现了一些恶意包它们也传播同样的一家族,嗅探受陷开发人员系统中的敏感信息。值得注意的是,这起攻击活动不同于此前的 “Operation Dream Job”活动。Unit 42表示前者“着重于攻击开发人员,主要是通过自由职业求职门户中的虚假身份,后续阶段涉及使用开发者工具和npm包,导致 BeaverTail 和 InvisibleFerret。”

“Operation Dream Job”活动与朝鲜 Lazarus 组织有关,主要向不知情的受雇于多个行业(如航空、密币、国防等)中的不知情专业人员发送恶意伪装成录用通知书的恶意文件,传播恶意软件。 以色列网络安全公司 ClearSky 率先在2020年开头发现了该攻击活动,它与其他两个Lazarus 黑客组织 Operation Interception和Operation North Star之间存在重叠之处。

Securonix公司最近发现的攻击链首先是托管在 GitHub 上的ZIP压缩文件,可能会在面试过程中发送给目标。该文件包含看似无害的 npm 模块,利用名为 “BeaverTail” 的恶意 JavaScript 代码作为Python后门 InvisibleFerret的信息窃取器和加载器,而该后门源自远程服务器。该植入除了收集系统信息外,还能够执行代码、枚举和渗透文件以及记录剪贴板和键击等。

这一活动表明,朝鲜威胁行动者仍然在充实网络攻击武器库,一直提升能力,隐藏相关动作并融入主机系统和网络,更不用说嗅探数据并以此实施攻陷谋取经济利益。

研究人员表示,“说到社工攻击,维持专注安全的心态,尤其是在紧张和压力情境如工作面试时至关重要。DEV#POPPER背后的攻击者滥用这一点,了解另一端的人员注意力高度分散且处于更脆弱的状态。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

软件供应链投毒 — NPM 恶意组件分析(二)

软件供应链投毒 — NPM 恶意组件分析

朝鲜黑客被指利用恶意 npm 包攻击开发人员

NPM 恶意包通过 GitHub 提取数百个开发者SSH密钥

NPM 注册表恶作剧导致开发人员无法取消发布程序包

原文链接

https://thehackernews.com/2024/04/bogus-npm-packages-used-to-trick.html

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519374&idx=1&sn=3fbf5576659950047d9bc0dcc5ce061e&chksm=ea94bde4dde334f2adf3531901e2c95aea07bf3a099b0125048228dac88779dac4e96a334141&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh