El actor de amenazas vinculado a Corea del Norte conocido como Aguanieve de piedra lunar continuaron enviando paquetes npm maliciosos al Registro de paquetes JavaScript con el objetivo de infectar sistemas Windows, destacando la naturaleza persistente de sus campañas.
Los paquetes en cuestión, API Harthat Y hash-harthatfueron lanzados el 7 de julio de 2024, según Datadog Security Labs. Ambas bibliotecas no generaron descargas y fueron eliminadas rápidamente al poco tiempo.
El brazo de seguridad de la compañía de monitoreo de la nube está rastreando al actor de amenazas bajo el nombre Stressed Pungsan, que se superpone con un grupo de actividades maliciosas de Corea del Norte recientemente descubierto llamado Moonstone Sleet.
“Aunque el nombre suena como Casco npm (una utilidad de desarrollo de Ethereum), su contenido no indica ninguna intención de escribirlo”, dijeron los investigadores de Datadog Sebastian Obregoso y Zack Allen. dicho. “El paquete malicioso reutiliza código de un conocido repositorio de GitHub llamado configuración del nodo con más de 6000 estrellas y 500 bifurcaciones, conocido en npm como config.”
Se sabe que las cadenas de ataques orquestadas por el colectivo adversario distribuyen archivos ZIP falsos a través de LinkedIn con un nombre de empresa falso o sitios web no relacionados, engañando a objetivos potenciales para que ejecuten cargas útiles que invocan un paquete npm como parte de una supuesta evaluación de habilidades técnicas.
“Una vez cargado, el paquete de malware utilizó curl para conectarse a una dirección IP controlada por el actor y soltar cargas maliciosas adicionales como SplitLoader”, señaló Microsoft en mayo de 2024. “En otro incidente, Moonstone Sleet entregó un cargador npm malicioso que condujo al robo. de credenciales LSASS. »
Los hallazgos posteriores de Checkmarx revelaron que Moonstone Sleet también había intentado distribuir sus paquetes a través del registro npm.
Los paquetes recién descubiertos están diseñados para ejecutar un script de preinstalación especificado en el archivo package.json, que, a su vez, verifica si se está ejecutando en un sistema Windows (“Windows_NT”), después de lo cual se comunica con un servidor externo (“142.111 .77”).[.]196”) para descargar un archivo DLL de carga lateral usando binario rundll32.exe.
La DLL maliciosa, por otro lado, no realiza ninguna acción maliciosa, lo que sugiere una prueba de su infraestructura de entrega de carga útil o que fue enviada inadvertidamente al registro antes de incrustar código malicioso allí.
El desarrollo se produce cuando el Centro Nacional de Seguridad Cibernética (NCSC) de Corea del Sur prevenido ciberataques lanzados por grupos de amenazas norcoreanos conocidos como Andariel y Kimsuky para distribuir familias de malware como Dora RAT y TrollAgent (también conocido como Troll Stealer) en campañas de intrusión dirigidas a las industrias de construcción y maquinaria del país.
La secuencia de ataque de Dora RAT se destaca porque los piratas informáticos de Andariel explotaron vulnerabilidades en el mecanismo de actualización del software de una VPN doméstica para propagar el malware.