هکرهای کره شمالی موج جدیدی از حملات بسته npm را راه اندازی کردند

محققان امنیت سایبری افزایش اخیر در فعالیت های م،ب مربوط به گروه های تهدید مرتبط با کره شمالی را شناسایی کرده اند که یک کمپین هماهنگ را نشان می دهد که ا،یستم npm را هدف قرار می دهد.

این کمپین در 12 آگوست 2024 آغاز شد و شامل استقرار بسته های م،ب npm بود که برای نفوذ به محیط های توسعه دهندگان و سرقت داده های حساس طراحی شده بودند.

بسته های تازه کشف شده شامل temp-etherscan-api، ethersscan-api و telegram-con، تاکتیک های پیچیده ای مانند JavaScript مبهم چند مرحله ای را نشان می دهند که ب،زار اضافی را از سرورهای راه دور دانلود می کند.

بسته های م،ب npm

طبق یک پست وبلاگی که امروز توسط Phylum منتشر شد، این ب،زار شامل اسکریپت های پایتون و یک مفسر کامل پایتون است که به جستجوی داده ها در افزونه های مرورگر کیف پول ارزهای دیجیتال می پردازد و در عین حال در سیستم های آسیب دیده پایداری ایجاد می کند. قابل ذکر است که بسته qq-console به کمپین کره شمالی معروف به "مصاحبه مسری" نسبت داده می شود.

محققان بسته دیگری به نام helmet-validate را شناسایی کرده اند که در 23 آگوست 2024 منتشر شده است که از روش حمله متفاوتی استفاده می کند. کد جاوا اسکریپت را وارد می کند که کدهای م،ب را از یک نقطه پای، راه دور، ipcheck(.) cloud بازیابی و اجرا می کند. این دامنه به عملیات های قبلی کره شمالی، از جمله کمپین های شغلی جعلی با استفاده از دامنه mirotalk(.)net مرتبط است که الگوی تاکتیک های تکراری را برجسته می کند.

آ،ین بسته، s،-notification، در 27 آگوست 2024 منتشر شد و مربوط به کمپین "Moonstone Sleet" است. این بسته از جاوا اسکریپت مبهم برای اجرای اسکریپت هایی استفاده می کند که بارگیری، رمزگشایی و اجرای محموله ها را از راه دور انجام می دهند و در عین حال آثاری از فعالیت های م،ب را از بین می برند و نرم افزار بی ضرر را پشت سر می گذارند.

درباره تهدیدات سایبری کره شمالی بیشتر بخو،د: هکرهای کره شمالی ایمیل های خبرنگاران را جعل می کنند تا از کارشناسان سیاست جاسوسی کنند.

بهره برداری از npm توسط عوامل تهدید در حال افزایش است

Phylum هشدار داد که این حملات بر بهره برداری فزاینده از npm توسط بازیگران تهدید برای به خطر انداختن سیستم های توسعه دهنده تاکید دارد.

این شرکت گفت: «تنوع و استقرار همزمان این بردارهای حمله نشان دهنده یک کمپین هماهنگ و بی امان توسط عوامل تهدید مرتبط با کره شمالی است.

این دشمنان به طور مداوم از اعتماد ذاتی موجود در ا،یستم npm برای هک ، توسعه دهندگان، نفوذ در شرکت ها و سرقت ارزهای دیجیتال یا سایر دارایی هایی که می تواند منجر به سود مالی غیرقانونی شود، سوء استفاده می کنند.