06 de agosto de 2024Ravie LakshmananMalware / Seguridad de Windows El actor de amenazas vinculado a Corea del Norte conocido como Moonstone Sleet ha seguido enviando paquetes npm maliciosos al registro de paquetes de JavaScript con el objetivo de infectar sistemas Windows, lo que subraya la naturaleza persistente de sus campañas. Los paquetes en cuestión, harthat-api y harthat-hash, se publicaron el 7 de julio de 2024, según Datadog Security Labs. Ambas bibliotecas no atrajeron ninguna descarga y se retiraron poco después de un corto período de tiempo. El brazo de seguridad de la empresa de monitoreo en la nube está rastreando al actor de amenazas bajo el nombre de Stressed Pungsan, que exhibe superposiciones con un grupo de actividad maliciosa norcoreana recientemente descubierto denominado Moonstone Sleet. «Si bien el nombre se parece al paquete npm Hardhat (una utilidad de desarrollo de Ethereum), su contenido no indica ninguna intención de typosquat», dijeron los investigadores de Datadog Sebastian Obregoso y Zack Allen. «El paquete malicioso reutiliza el código de un conocido repositorio de GitHub llamado node-config con más de 6000 estrellas y 500 bifurcaciones, conocido en npm como config». Se sabe que las cadenas de ataque orquestadas por el colectivo adversario difunden archivos ZIP falsos a través de LinkedIn bajo un nombre de empresa falso o sitios web de autónomos, lo que incita a los posibles objetivos a ejecutar cargas útiles que invocan un paquete npm como parte de una supuesta evaluación de habilidades técnicas. «Cuando se cargó, el paquete malicioso utilizó curl para conectarse a una IP controlada por el actor y soltar cargas útiles maliciosas adicionales como SplitLoader», señaló Microsoft en mayo de 2024. «En otro incidente, Moonstone Sleet entregó un cargador npm malicioso que provocó el robo de credenciales de LSASS». Los hallazgos posteriores de Checkmarx descubrieron que Moonstone Sleet también ha estado intentando difundir sus paquetes a través del registro npm. Los paquetes recién descubiertos están diseñados para ejecutar un script de preinstalación especificado en el archivo package.json, que, a su vez, verifica si se está ejecutando en un sistema Windows («Windows_NT»), después de lo cual se comunica con un servidor externo («142.111.77[.]196») para descargar un archivo DLL que se carga de forma lateral utilizando el binario rundll32.exe. El DLL malicioso, por su parte, no realiza ninguna acción maliciosa, lo que sugiere que se trata de una prueba de su infraestructura de entrega de carga útil o que se envió inadvertidamente al registro antes de incrustarle código malicioso. El desarrollo se produce cuando el Centro Nacional de Seguridad Cibernética de Corea del Sur (NCSC) advirtió sobre los ataques cibernéticos organizados por grupos de amenazas norcoreanos identificados como Andariel y Kimsuky para entregar familias de malware como Dora RAT y TrollAgent (también conocido como Troll Stealer) como parte de las campañas de intrusión dirigidas a los sectores de la construcción y la maquinaria en el país. La secuencia de ataque de Dora RAT es notable por el hecho de que los piratas informáticos de Andariel explotaron vulnerabilidades en el mecanismo de actualización de software de un software VPN doméstico para propagar el malware. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.