据Socket Threat Research报告,北朝鲜的“传染性面试”运动正在通过恶意npm包攻击求职者。这些包感染开发人员的设备,安装信息窃取器和后门程序。来源
此次攻击使用了35个恶意包,通过24个账户提交到npm,下载次数超过4000次,其中六个包仍可用。这些包通过仿冒知名库进行typosquat,使其更具危险性。
受害者通常是软件工程师和开发人员,北朝鲜操作者冒充招聘人员,通过LinkedIn发送编码“任务”并要求候选人在非容器化环境中运行代码。任务伪装为在Bitbucket上的合法测试,实际上触发感染链,向目标计算机投放多个有效载荷。
攻击者首先通过npm包中的HexEval Loader识别主机,并与指挥控制服务器联系,使用’eval()’执行第二阶段有效载荷BeaverTail。BeaverTail是一个跨平台信息窃取器和恶意软件加载器,盗取浏览器数据,包括cookie和加密货币钱包,并加载第三阶段InvisibleFerret。
InvisibleFerret是一个持久的跨平台后门,通过ZIP文件交付,允许攻击者进行远程控制、文件盗窃和屏幕截取。最后,攻击者部署了一个跨平台的键盘记录工具,进行实时监控和数据泄露。该工具仅与活动中的一个npm别名相关,可能仅部署在特定高价值目标上。