Северокорейские хакеры распространяют вредоносные пакеты npm через XORIndex

Северокорейские хакеры распространяют вредоносные пакеты npm через XORIndex

Источник: socket.dev

Северокорейские хакеры атакуют экосистему npm с помощью нового загрузчика XORIndex

Недавнее исследование выявило волну внедрений вредоносных пакетов в реестр npm, осуществленных северокорейскими хакерами с использованием загрузчика вредоносных программ, известного как XORIndex. Этот инцидент демонстрирует растущую угрозу для разработчиков и пользователей, активно применяющих JavaScript-пакеты из открытых источников.

Что такое XORIndex и как он работает

Загрузчик XORIndex связан с предыдущей кампанией под названием Contagious Interview — связь подтверждается аналогиями в схемах именования пакетов и использованием вредоносного ПО BeaverTail. Основная функция XORIndex — облегчать удалённое выполнение кода (remote code execution). После установки пакет автоматически связывается с жестко запрограммированным сервером управления (C2) и загружает JavaScript-код для выполнения.

Примечательна эволюция этого загрузчика:

  • Ранние версии не содержали методов обфускации строк и сбор метаданных о хосте.
  • Современные варианты включают XOR-обфускацию, ротацию с несколькими конечными точками и профилирование хост-системы.

Объем заражения и динамика атаки

Исследовательская группа Socket Threat выявила, что всего было внедрено 67 вредоносных пакетов npm, в том числе:

  • 39 пакетов загрузчика HexEval
  • 28 пакетов загрузчика XORIndex

Общее количество загрузок превышает 17 000.

Несмотря на активные попытки удалить вредоносные пакеты из реестра, по состоянию на момент расследования 27 из них остаются активными. Хакеры оперативно создают новые варианты, реагируя на меры блокировки, что свидетельствует о высокой агрессивности вредоносной кампании.

Инфраструктура атак и дальнейшие стадии эксплуатации

Каждый заражённый пакет жестко связан с инфраструктурой C2, обеспечивающей контроль и обновление вредоносного ПО. Например, пакет eth-auditlog собирает локальные телеметрические данные и отправляет их на серверы C2. Затем он загружает вредоносную полезную нагрузку BeaverTail, которая выполняет слежку за конфиденциальной информацией — в частности, за криптовалютными кошельками и расширениями браузера.

Важно подчеркнуть, что BeaverTail является лишь промежуточным этапом, далее происходит внедрение бэкдора InvisibleFerret. Таким образом, создается цепочка внедрения вредоносного ПО, позволяющая кибершпионам получать долгосрочный доступ к скомпрометированным системам.

Цели и перспективы атак

Загрузчик XORIndex спроектирован как платформонезависимое ПО, основное внимание уделяется экосистеме Node.js. Главная цель преступников — разработчики и частные лица с учетными данными, связанными с криптовалютой.

Ожидается, что группа хакеров продолжит использовать уже отработанные вредоносные инструменты, параллельно внедряя новые методы защиты своего кода, включая расширенные методы обфускации.

Выводы

Инцидент с загрузчиком XORIndex и связанными вредоносными пакетами в реестре npm иллюстрирует одну из наиболее актуальных угроз современной кибербезопасности. Для разработчиков крайне важно постоянно мониторить используемые пакеты, проверять их на безопасность и соблюдать лучшие практики в области управления зависимостями.

Кроме того, данный кейс служит напоминанием о том, что злоумышленники активно развивают методы обхода защит, а значит — только комплексный подход к безопасности позволит минимизировать риски.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: