Hacker Korea Utara berada di balik serangan Contagious Interview yang sedang berlangsung menyebarkan jaringan malware mereka di ekosistem npm dengan menerbitkan lebih banyak paket berbahaya yang mengirimkan malware BeaverTail serta trojan akses jarak jauh (RAT) baru.
“Sampel terbaru ini menggunakan pengkodean string heksadesimal untuk menghindari pendeteksian otomatis dan audit kode manual yang menandakan adanya variasi dalam teknik penyamaran pelaku serangan cyber ini” kata peneliti keamanan Socket, Kirill Boychenko, dalam sebuah laporan.
Paket-paket yang dimaksud, yang secara kolektif diunduh lebih dari 5,600 kali sebelum dihapus, tercantum di bawah ini :
- empty-array-validator
- twitterapis
- dev-debugger-vite
- snore-log
- core-pino
- events-utils
- icloud-cod
- cln-logger
- node-clog
- konsolidasi-log
- konsolidasi-logger
Pengungkapan ini terjadi hampir sebulan setelah satu set enam paket npm ditemukan mendistribusikan BeaverTail, sebuah pencuri JavaScript yang juga mampu mengirimkan backdoor berbasis Python yang dijuluki InvisibleFerret.
Tujuan akhir dari kampanye ini adalah untuk menyusup ke sistem pengembang dengan kedok proses wawancara kerja, mencuri data sensitif, menyedot aset keuangan dan mempertahankan akses jangka panjang ke sistem yang disusupi.
npm libraries yang baru diidentifikasi disamarkan sebagai utilitas dan debugger, dengan salah satunya – dev-debugger-vite – menggunakan alamat command-and-control (C2) yang sebelumnya ditandai oleh SecurityScorecard seperti yang digunakan oleh Lazarus Group dalam kampanye dengan nama sandi Phantom Circuit pada bulan Desember 2024.
Baca Juga : Hacker Korea Utara Berhasil Curi Uang Kripto Senilai 24 Triliun Di Dubai
Yang membuat paket-paket ini menonjol adalah beberapa di antaranya, seperti events-utils dan icloud-cod, ditautkan ke repositori Bitbucket dan bukan ke GitHub. Selain itu, paket icloud-cod telah ditemukan dihosting di dalam direktori bernama “eiwork_hire,” yang mengulangi penggunaan tema yang berhubungan dengan wawancara oleh hacker untuk mengaktifkan infeksi.
Analisis paket, cln-logger, node-clog, consolidate-log, dan consolidate-logger, juga menemukan variasi tingkat kode kecil, yang mengindikasikan bahwa penyerang menerbitkan beberapa varian malware dalam upaya meningkatkan tingkat keberhasilan kampanye.
Terlepas dari perubahannya, kode berbahaya yang tertanam di dalam empat paket tersebut berfungsi sebagai pemuat trojan akses jarak jauh (RAT) yang mampu menyebarkan muatan tahap berikutnya dari server jarak jauh.
Boychenko mengatakan kepada The Hacker News bahwa sifat pasti dari malware yang disebarkan melalui loader masih belum diketahui pada tahap ini karena fakta bahwa titik akhir C2 tidak lagi melayani muatan apa pun.
“Kode tersebut berfungsi sebagai malware loader aktif dengan kemampuan trojan akses jarak jauh (RAT),” kata Boychenko. “Secara dinamis mengambil dan mengeksekusi JavaScript jarak jauh melalui eval (), memungkinkan penyerang Korea Utara untuk menjalankan kode sewenang-wenang pada sistem yang terinfeksi. Perilaku ini memungkinkan mereka untuk menyebarkan malware lanjutan apa pun yang mereka pilih, menjadikan loader sebagai ancaman yang signifikan dengan sendirinya.”
Temuan ini menggambarkan sifat gigih Contagious Interview, yang selain menimbulkan ancaman berkelanjutan terhadap rantai pasokan perangkat lunak, juga menggunakan taktik rekayasa sosial ClickFix yang terkenal untuk mendistribusikan malware.
Baca Juga : Mata Uang Kripto Terjun Bebas Akibat Pencurian Oleh Hacker
“Pelaku ancaman Contagious Interview terus membuat akun npm baru dan menyebarkan kode berbahaya di seluruh platform seperti registri npm, GitHub, dan Bitbucket, menunjukkan kegigihan mereka dan tidak menunjukkan tanda-tanda melambat,” kata Boychenko.
“Kelompok ancaman persisten tingkat lanjut (APT) mendiversifikasi taktiknya – menerbitkan malware baru dengan nama alias baru, menghosting muatan di repositori GitHub dan Bitbucket, dan menggunakan kembali komponen inti seperti BeaverTail dan InvisibleFerret di samping varian RAT/loader yang baru diamati.”
BeaverTail dan Tropidoor
Penemuan paket npm baru ini muncul ketika perusahaan keamanan siber Korea Selatan AhnLab merinci kampanye phishing bertema perekrutan yang menggunakan BeaverTail, yang kemudian digunakan untuk menyebarkan Windows OS backdoor yang sebelumnya tidak terdokumentasi dengan nama kode Tropidoor. Artefak yang dianalisis oleh perusahaan tersebut menunjukkan bahwa BeaverTail digunakan untuk secara aktif menargetkan pengembang di Korea Selatan.
Pesan email, yang diklaim berasal dari perusahaan bernama AutoSquare, berisi tautan ke proyek yang dihosting di Bitbucket, mendesak penerima untuk mengkloning proyek tersebut secara lokal di komputer mereka untuk meninjau kembali pemahaman mereka tentang program tersebut.
Aplikasi ini tidak lain adalah npm library yang berisi BeaverTail (“tailwind.config.js”) dan malware pengunduh DLL (“car.dll”), yang terakhir ini diluncurkan oleh pencuri dan JavaScript loader.
Tropidoor adalah pintu belakang “yang beroperasi di memori melalui pengunduh” yang mampu menghubungi server C2 untuk menerima instruksi yang memungkinkan untuk mengeksfiltrasi file, mengumpulkan informasi drive dan file, menjalankan dan menghentikan proses, menangkap tangkapan layar, dan menghapus atau menghapus file dengan menimpanya dengan NULL atau data sampah.
Aspek penting dari implan ini adalah bahwa ia secara langsung mengimplementasikan perintah Windows seperti schtasks, ping, dan reg, sebuah fitur yang sebelumnya juga ditemukan pada malware Lazarus Group lainnya yang disebut LightlessCan, yang merupakan penerus dari BLINDINGCAN (alias AIRDRY alias ZetaNile).
“Pengguna harus berhati-hati tidak hanya dengan lampiran email tetapi juga dengan file yang dapat dieksekusi dari sumber yang tidak dikenal,” kata AhnLab.