Des pirates informatiques nord-coréens propagent le malware BeaverTail via des packages npm malveillants

Se traduisent par :

Une nouvelle vague d'attaques de pirates informatiques nord-coréens a fait surface, ciblant la communauté du développement logiciel via des packages npm malveillants. Ces packages, associés à la campagne « Contagious Interview », sont conçus pour diffuser le malware BeaverTail , ainsi qu'un cheval de Troie d'accès à distance (RAT) récemment découvert. Cette campagne s'inscrit dans le cadre d'une initiative plus vaste du groupe Lazarus visant à infiltrer les systèmes, voler des données sensibles et maintenir un accès durable aux appareils compromis.

Table des matières

Techniques d'obscurcissement utilisées pour échapper à la détection

Selon Kirill Boychenko, chercheur en sécurité des sockets, ces derniers échantillons utilisent un codage de chaîne hexadécimal comme technique d'obfuscation, ce qui les rend plus difficiles à détecter par les systèmes automatisés et les audits de code manuels. Cette mise à jour de la stratégie d'évasion du malware témoigne d'une nette évolution des méthodes utilisées par les acteurs malveillants pour contourner les mesures de sécurité.

Paquets malveillants se faisant passer pour des outils de développement

Les paquets npm malveillants ont été téléchargés plus de 5 600 fois avant d'être supprimés. Parmi ces paquets dangereux figuraient empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log et consolidate-logger. Ces paquets étaient censés se faire passer pour des utilitaires ou des débogueurs légitimes, mais contenaient en réalité des charges utiles malveillantes.

Vol de données via de faux entretiens d'embauche

Cette révélation fait suite à un incident similaire survenu un mois plus tôt, lorsque six paquets npm ont été découverts diffusant BeaverTail, un voleur de code JavaScript qui introduisait également une porte dérobée basée sur Python appelée InvisibleFerret. L'objectif ultime de ces attaques est d'infiltrer les systèmes des développeurs sous couvert de processus d'entretiens d'embauche. Une fois à l'intérieur, le logiciel malveillant vole des informations sensibles, détourne des actifs financiers et permet aux pirates de conserver un accès permanent aux systèmes compromis.

Liens vers le groupe Lazarus et la campagne Phantom Circuit

Un package notable, dev-debugger-vite, utilisait une adresse de commande et de contrôle (C2) précédemment signalée par SecurityScorecard comme étant associée au groupe Lazarus lors d'une campagne nommée Phantom Circuit, survenue en décembre 2024. D'autres packages, tels que events-utils et icloud-cod, se sont avérés liés à des dépôts Bitbucket, divergeant ainsi des cibles GitHub habituelles observées lors des campagnes précédentes. Ce changement, ainsi que le répertoire « eiwork_hire » présent dans le package icloud-cod, indiquent que les attaquants continuent d'utiliser des tactiques liées aux entretiens d'embauche pour activer l'infection.

Plusieurs variantes pour maximiser le succès de l'infection

L'analyse de certains packages, dont cln-logger, node-clog, consolidate-log et consolidate-logger, a révélé de légères variations dans le code. Ces changements suggèrent que les acteurs malveillants cherchent à accroître le taux de réussite de leur campagne en déployant plusieurs variantes de malwares. Malgré ces différences, le code intégré à ces quatre packages fonctionne comme un chargeur RAT capable de récupérer et d'exécuter des charges utiles supplémentaires depuis des serveurs distants. À ce stade, la nature exacte du malware chargé reste incertaine, car les terminaux C2 ne diffusaient plus de charges utiles lorsque les chercheurs ont mené leurs investigations.

Le chargeur RAT permet le contrôle à distance des systèmes infectés

Boychenko a décrit le code malveillant comme un chargeur actif doté de fonctionnalités RAT, utilisant eval() pour récupérer et exécuter du JavaScript à distance. Cette méthode permet aux attaquants de déployer le logiciel malveillant de leur choix, faisant du chargeur RAT une menace importante en soi.

La campagne d'interviews contagieuses ne montre aucun signe de ralentissement

Ces résultats soulignent la persistance de la campagne « Contagious Interview ». Les attaquants ne montrent aucun signe de ralentissement, continuant de créer de nouveaux comptes npm et de déployer du code malveillant sur diverses plateformes comme npm, GitHub et Bitbucket. Ils ont également diversifié leurs tactiques, publiant de nouveaux malwares sous différents alias, utilisant divers référentiels et exploitant des variantes de malwares bien connues comme BeaverTail et InvisibleFerret, ainsi que de nouvelles variantes de RAT/loader.

Le malware Tropidoor fait son apparition dans les attaques de phishing ciblant les développeurs

Parallèlement, l'entreprise sud-coréenne de cybersécurité AhnLab a récemment découvert un autre aspect de la campagne. Elle a identifié une attaque de phishing à visée de recrutement utilisant BeaverTail, qui est ensuite utilisé pour déployer une porte dérobée Windows jusqu'alors non documentée appelée Tropidoor. Cette porte dérobée, diffusée via une bibliothèque npm hébergée sur Bitbucket, est capable d'effectuer un large éventail d'actions malveillantes. Tropidoor peut exfiltrer des fichiers, collecter des informations sur les lecteurs et les fichiers, exécuter des processus, réaliser des captures d'écran et même supprimer ou écraser des fichiers contenant des données NULL ou indésirables.

Des fonctionnalités avancées suggèrent un lien vers le malware Lazarus connu

L'analyse d'AhnLab a révélé que Tropidoor opère en mémoire via un téléchargeur et contacte un serveur C2 pour recevoir des instructions. Le malware utilise directement des commandes Windows telles que schtasks, ping et reg, également observées dans d'autres malwares du groupe Lazarus, comme LightlessCan. Ce lien renforce le lien entre l'activité actuelle et le groupe nord-coréen, tristement célèbre pour ses tactiques sophistiquées de cyberespionnage .

Les développeurs sont invités à rester vigilants face aux attaques de la chaîne d'approvisionnement

Les dernières révélations soulignent la menace persistante que représentent le groupe Lazarus et d'autres acteurs d'APT. Développeurs et utilisateurs doivent faire preuve de prudence lors du téléchargement de packages ou de l'ouverture de fichiers provenant de sources inconnues ou suspectes. Face à l'évolution constante de ces attaques, il est essentiel de rester vigilant face aux campagnes de phishing et d'inspecter les dépendances à la recherche de code malveillant afin de protéger les informations sensibles et d'éviter qu'elles ne tombent entre de mauvaises mains.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région