这起事件发生在8月12至27日之间，涉及的程序包包括 temp-ethersca-api、ethersscan-api、telegram-con、helmet-validate和qq-console。该公司提到，“该攻击中的行为导致我们认为 qq-console 可关联至朝鲜的攻击活动 ‘Contagious Interview（传染面试）’。”

Contagious Interview 旨在工作面试中诱骗受害者下载npm恶意包或针对视频会议软件的虚假安装器，来窃取他们的信息。该攻击的最终目标是部署 Python payload InvisibleFerret，从密币钱包浏览器扩展中提取敏感数据并通过使用合法远程桌面软件如AnyDesk的主机设立可持久性。CrowdStrike 公司正在追踪代号为 “Famous Chollima” 的活动。

新发现的 helmet-validate 包采用了新方法，嵌入JavaScript 代码文件 config.js，通过 eval() 函数直接执行托管在远程域名 (“ipcheck[.]cloud”)上的JavaScript。

该公司提到二者之间的关联时表示，“调查显示，ipcheck[.]cloud解析到IP地址(167[.]88[.]36[.]13)，而这也正是 mirotalk[.]net 在线时所解析的地址。”该公司提到，还发现在8月27日上传的另外一个包 sass-notification，它与此前发现的npm库如 call-blockflow 之间存在相似性。这些包与朝鲜的另外一个威胁组织 Moonstone Sleet 有关。

该公司提到，“这些攻击利用混淆后的 JavaScript 写并执行 batch 和 PowerShell 脚本。这些脚本下载并解密远程payload，将其以 DLL 形式执行，之后试图清理所有恶意活动的迹象，在受害者机器上留下看似良性的程序包。”

这份最新披露正值 CrowdStrike 公司将 Famous Chollima和内部威胁行动（以合法雇佣为幌子渗透企业环境）关联在一起。

该公司提到，“Famous Chollima 通过获得合同或全职职位执行这些操作，他们利用虚假或被盗身份文档来绕过背景调查。他们申请工作时，这些恶意内部人员就会提交一份简历，一般会列出在一家名企以及其它不太知名企业的就职经历且不会有空档期。”

虽然这些攻击主要受利益驱动，但其中一些据称涉及敏感信息的提取。CrowdStrike 公司表示已发现威胁行动者们在过去一年中申请或活跃就职的企业超过100家，多数企业位于美国、沙特阿拉伯、法国、菲律宾、乌克兰等。涉及的行业包括技术、金融技术、金融服务、专业服务、零售、交通、制造业、保险、医药、社交媒体和媒体公司等。

研究人员提到，“获得对受害者网络的员工级别访问权限后，内部人员执行与工作职责相关的最小任务。在某些情况下他们还尝试通过 Git、SharePoint 和 OneDrive 提取数据。另外，他们还安装了如下 RMM 工具：RustDesk、AnyDesk、TinyPilot、VS Code Dev Tunnels和 Google Chrome Remote Desktop。之后通过公司网络凭据来利用这些工具，将大量IP地址与受害者系统进行连接。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~