HomeNews* Los investigadores descubrieron 35 nuevos paquetes maliciosos de npm relacionados con actores de amenazas norcoreanos.
Los paquetes fueron descargados más de 4,000 veces y publicados desde 24 cuentas de npm.
La campaña utiliza cargadores de malware codificados para entregar robadores de información y herramientas de acceso remoto.
Los atacantes se hacen pasar por reclutadores y apuntan a desarrolladores con ofertas de trabajo falsas en sitios como LinkedIn.
La operación tiene como objetivo robar criptomonedas y datos sensibles de sistemas de desarrolladores comprometidos.
Los especialistas en ciberseguridad han identificado 35 nuevos paquetes npm dañinos conectados a la actual campaña de ciberataques "Entrevista Contagiosa", que se atribuye a grupos patrocinados por el estado de Corea del Norte. La nueva ola de software malicioso apareció en la plataforma de paquetes de código abierto npm y tiene como objetivo a desarrolladores y buscadores de empleo.
Anuncio - Según Socket, estos paquetes han sido subidos desde 24 cuentas de npm separadas y han recibido más de 4,000 descargas. Seis de estos paquetes, incluyendo “react-plaid-sdk,” “sumsub-node-websdk,” y “router-parse,” permanecieron disponibles públicamente en el momento del descubrimiento.
Cada paquete contiene una herramienta llamada HexEval, que es un cargador codificado en hexadecimal que recopila información sobre la computadora host después de la instalación. HexEval despliega selectivamente otro programa malicioso llamado BeaverTail, que puede descargar y ejecutar una puerta trasera basada en Python llamada InvisibleFerret. Esta secuencia permite a los piratas informáticos robar datos confidenciales y controlar de forma remota el sistema infectado. "Esta estructura de muñeca ayuda a la campaña a evadir los escáneres estáticos básicos y las revisiones manuales", dijo el investigador de Socket Kirill Boychenko.
La campaña suele comenzar cuando los actores de amenazas se hacen pasar por reclutadores en plataformas como LinkedIn. Se ponen en contacto con ingenieros de software y envían asignaciones de trabajo falsas a través de enlaces a proyectos alojados en GitHub o Bitbucket donde están incrustados estos paquetes npm. A continuación, se convence a las víctimas para que descarguen y ejecuten estos proyectos, a veces fuera de entornos seguros.
La operación Contagious Interview, detallada por primera vez por Palo Alto Networks Unit 42 a finales de 2023, busca acceso no autorizado a máquinas de desarrolladores principalmente para el robo de criptomonedas y datos. La campaña también es conocida por nombres como CL-STA-0240, DeceptiveDevelopment y Gwisin Gang.
Socket informa que las tácticas actuales de los atacantes combinan paquetes de código abierto infectados con malware, ingeniería social a medida y mecanismos de entrega en capas para eludir los sistemas de seguridad. La campaña muestra un refinamiento continuo, con la adición de keyloggers multiplataforma y nuevas técnicas de entrega de malware.
La actividad reciente incluye el uso de una estrategia de ingeniería social llamada ClickFix, que entrega malware como GolangGhost y PylangGhost. Esta sub-campaña, ClickFake Interview, sigue atacando a los desarrolladores con cargas útiles personalizadas para una vigilancia más profunda cuando sea necesario.
Anuncio - Puede encontrar más detalles y la lista completa de los paquetes npm afectados a través de la declaración pública de Socket.
Artículos Anteriores:
Argent Wallet se renueva como Ready con una estrategia de producto dual
YESminer lanza una plataforma de criptomonedas impulsada por IA con bonificaciones gratuitas
El Banco de Corea quiere que los bancos lideren la emisión de stablecoins, enfocado en la seguridad
Bernie Sanders advierte que la IA y los robots amenazan los empleos; insta a nuevas protecciones
La audiencia del Senado sobre la estructura del mercado de criptomonedas solo atrae a cinco miembros
Anuncio -
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
El malware Npm de Corea del Norte ataca a los desarrolladores en entrevistas de trabajo falsas
HomeNews* Los investigadores descubrieron 35 nuevos paquetes maliciosos de npm relacionados con actores de amenazas norcoreanos.
Cada paquete contiene una herramienta llamada HexEval, que es un cargador codificado en hexadecimal que recopila información sobre la computadora host después de la instalación. HexEval despliega selectivamente otro programa malicioso llamado BeaverTail, que puede descargar y ejecutar una puerta trasera basada en Python llamada InvisibleFerret. Esta secuencia permite a los piratas informáticos robar datos confidenciales y controlar de forma remota el sistema infectado. "Esta estructura de muñeca ayuda a la campaña a evadir los escáneres estáticos básicos y las revisiones manuales", dijo el investigador de Socket Kirill Boychenko.
La campaña suele comenzar cuando los actores de amenazas se hacen pasar por reclutadores en plataformas como LinkedIn. Se ponen en contacto con ingenieros de software y envían asignaciones de trabajo falsas a través de enlaces a proyectos alojados en GitHub o Bitbucket donde están incrustados estos paquetes npm. A continuación, se convence a las víctimas para que descarguen y ejecuten estos proyectos, a veces fuera de entornos seguros.
La operación Contagious Interview, detallada por primera vez por Palo Alto Networks Unit 42 a finales de 2023, busca acceso no autorizado a máquinas de desarrolladores principalmente para el robo de criptomonedas y datos. La campaña también es conocida por nombres como CL-STA-0240, DeceptiveDevelopment y Gwisin Gang.
Socket informa que las tácticas actuales de los atacantes combinan paquetes de código abierto infectados con malware, ingeniería social a medida y mecanismos de entrega en capas para eludir los sistemas de seguridad. La campaña muestra un refinamiento continuo, con la adición de keyloggers multiplataforma y nuevas técnicas de entrega de malware.
La actividad reciente incluye el uso de una estrategia de ingeniería social llamada ClickFix, que entrega malware como GolangGhost y PylangGhost. Esta sub-campaña, ClickFake Interview, sigue atacando a los desarrolladores con cargas útiles personalizadas para una vigilancia más profunda cuando sea necesario.
Artículos Anteriores: