КНДР внедряет BeaverTail в хранилища для разработчиков
29/10/24
Три вредоносных пакета, опубликованных в npm-репозитории в сентябре 2024 года, содержали известное вредоносное ПО BeaverTail — загрузчик на JavaScript и инструмент для кражи данных, связанный с северокорейской кампанией под названием «Contagious Interview».
Команда Datadog Security Research отслеживает эту активность злоумышленников под кодовым именем «Tenacious Pungsan», также известную как CL-STA-0240 и Famous Chollima. Пакеты, распространявшие вредоносное ПО, уже удалены из репозитория npm. Среди них были:
- passports-js (вредоносная копия библиотеки «passport», 118 загрузок);
- bcrypts-js (вредоносная копия «bcryptjs», 81 загрузка);
- blockscan-api (вредоносная копия «etherscan-api», 124 загрузки).
«Contagious Interview» — это многомесячная кампания, в рамках которой злоумышленники обманывают разработчиков, предлагая загрузить вредоносные файлы или использовать фальшивые приложения для видеоконференций под видом тестовых заданий. Кампания впервые была выявлена в ноябре 2023 года.
Подобные атаки через npm-пакеты уже наблюдались ранее, напоминает Securitylab. В августе 2024 года компания Phylum обнаружила другие заражённые пакеты, включая temp-etherscan-api и telegram-con, которые использовались для установки BeaverTail и Python-бэкдора под названием InvisibleFerret. Продолжающиеся попытки имитировать пакет etherscan-api указывают на постоянный интерес преступников к криптовалютному сектору.
Эксперты подчёркивают растущий риск, связанный с открытыми репозиториями. Модификация легитимных пакетов npm для внедрения вредоносного кода становится распространённой тактикой, а разработчики продолжают оставаться ключевой целью северокорейских хакеров.