30 de agosto de 2024Ravie LakshmananCriptomoneda / Malware Se ha observado que actores de amenazas con vínculos con Corea del Norte publican un conjunto de paquetes maliciosos en el registro npm, lo que indica esfuerzos «coordinados e implacables» para atacar a los desarrolladores con malware y robar activos de criptomonedas. La última ola, que se observó entre el 12 y el 27 de agosto de 2024, involucró paquetes llamados temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate y qq-console. «Los comportamientos en esta campaña nos llevan a creer que qq-console es atribuible a la campaña norcoreana conocida como ‘Entrevista contagiosa'», dijo la firma de seguridad de la cadena de suministro de software Phylum. Contagious Interview se refiere a una campaña en curso que busca comprometer a los desarrolladores de software con malware que roba información como parte de un supuesto proceso de entrevista de trabajo que implica engañarlos para que descarguen paquetes npm falsos o instaladores falsos para software de videoconferencia como MiroTalk alojado en sitios web señuelo. El objetivo final de los ataques es implementar una carga útil de Python llamada InvisibleFerret que puede exfiltrar datos confidenciales de las extensiones del navegador de la billetera de criptomonedas y configurar la persistencia en el host utilizando un software de escritorio remoto legítimo como AnyDesk. CrowdStrike está rastreando la actividad bajo el apodo Famous Chollima. El paquete Helmet-Validate recientemente observado adopta un nuevo enfoque en el que incorpora un fragmento de archivo de código JavaScript llamado config.js que ejecuta directamente JavaScript alojado en un dominio remoto («ipcheck[.]nube») utilizando la función eval(). «Nuestra investigación reveló que ipcheck[.]La nube se resuelve en la misma dirección IP (167)[.]88[.]36[.]13) ese mirotalk[.]»El ataque se resolvió cuando estaba en línea», dijo Phylum, destacando los posibles vínculos entre los dos conjuntos de ataques. La compañía dijo que también observó otro paquete llamado sass-notification que se cargó el 27 de agosto de 2024, que compartía similitudes con bibliotecas npm descubiertas previamente como call-blockflow. Estos paquetes se han atribuido a otro grupo de amenazas norcoreano llamado Moonstone Sleet. «Estos ataques se caracterizan por usar JavaScript ofuscado para escribir y ejecutar scripts por lotes y de PowerShell», dijo. «Los scripts descargan y descifran una carga útil remota, la ejecutan como una DLL y luego intentan limpiar todos los rastros de actividad maliciosa, dejando atrás un paquete aparentemente benigno en la máquina de la víctima». Famous Chollima se hace pasar por trabajadores de TI en empresas estadounidenses La revelación se produce cuando CrowdStrike vinculó a Famous Chollima (anteriormente BadClone) con operaciones de amenazas internas que implican infiltrarse en entornos corporativos con el pretexto de un empleo legítimo. «Famous Chollima llevó a cabo estas operaciones obteniendo un contrato o un empleo equivalente a tiempo completo, utilizando datos falsificados o documentos de identidad robados para evitar las verificaciones de antecedentes», dijo la compañía. «Al solicitar un trabajo, estos infiltrados maliciosos presentaron un currículum que generalmente enumeraba empleos anteriores en una empresa importante, así como en empresas menos conocidas adicionales y sin interrupciones laborales». Si bien estos ataques tienen motivaciones principalmente financieras, se dice que un subconjunto de los incidentes involucró la exfiltración de información confidencial. CrowdStrike dijo que ha identificado a los actores de amenazas que se postularon o trabajaron activamente en más de 100 empresas únicas durante el año pasado, la mayoría de las cuales se encuentran en los EE. UU., Arabia Saudita, Francia, Filipinas y Ucrania, entre otros. Los sectores prominentemente atacados incluyen tecnología, tecnología financiera, servicios financieros, servicios profesionales, venta minorista, transporte, fabricación, seguros, farmacéutica, redes sociales y empresas de medios. «Después de obtener acceso a nivel de empleado a las redes de las víctimas, los infiltrados realizaron tareas mínimas relacionadas con su función laboral», dijo además la compañía. En algunos casos, los insiders también intentaron exfiltrar datos usando Git, SharePoint y OneDrive». «Además, los insiders instalaron las siguientes herramientas RMM: RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels y Google Chrome Remote Desktop. Los insiders luego aprovecharon estas herramientas RMM junto con las credenciales de red de la empresa, lo que permitió que numerosas direcciones IP se conectaran al sistema de la víctima». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.