Sommario
Negli ultimi mesi, sono stati osservati una serie di attacchi informatici mirati verso sviluppatori software attraverso la piattaforma npm (Node Package Manager) attribuiti a gruppi allineati con gli obiettivi della Corea del Nord, e rappresentano una continua minaccia alla sicurezza informatica per la comunità degli sviluppatori e per le aziende coinvolte.
Panoramica degli attacchi
A partire dal 12 agosto 2024, è stata rilevata una nuova ondata di attività sospette con la pubblicazione di diversi pacchetti npm contenenti malware. Tra i pacchetti coinvolti ci sono temp-etherscan-api, ethersscan-api (in diverse versioni), telegram-con, qq-console, helmet-validate e sass-notification. Questi pacchetti sono progettati per compromettere i sistemi degli sviluppatori, esfiltrare dati sensibili e stabilire la persistenza nei dispositivi infetti.
Tecniche e procedure di attacco
Gli attacchi sono caratterizzati dall’uso di JavaScript offuscato che esegue il download di ulteriori componenti malevoli da server remoti. Questi componenti includono script Python e persino un interprete Python completo, utilizzati per cercare ed esfiltrare dati sensibili da estensioni del browser utilizzate per portafogli di criptovalute. Inoltre, alcuni pacchetti come helmet-validate utilizzano comandi eval per eseguire codice JavaScript direttamente restituito da un endpoint remoto, rendendo l’attacco particolarmente insidioso.
Campagne Maligne e Coordinazione
Le campagne maligne, tra cui quella conosciuta come “Contagious Interview“, mostrano una sofisticazione crescente e una capacità di adattamento delle tattiche utilizzate. L’uso simultaneo di vettori di attacco diversi indica una campagna coordinata e persistente da parte di attori di minacce allineati con la Corea del Nord, che sfruttano la fiducia intrinseca nell’ecosistema npm per infiltrarsi nelle aziende e rubare risorse finanziarie e dati sensibili.
Linea Temporale delle Pubblicazioni Malevoli
| Nome del Pacchetto | Versione | Ora di Pubblicazione |
|---|---|---|
| qq-console | 0.0.1 | 2024-08-27 19:07 |
| sass-notification | 1.0.0 | 2024-08-27 18:15 |
| helmet-validate | 0.0.1 | 2024-08-23 02:39 |
| ethersscan-api | 0.0.3 | 2024-08-23 02:31 |
| telegram-con | 0.0.1 | 2024-08-23 02:31 |
| ethersscan-api | 0.0.2 | 2024-08-12 03:53 |
| ethersscan-api | 0.0.1 | 2024-08-12 03:53 |
| temp-etherscan-api | 0.0.1 | 2024-08-12 02:47 |
Indicazioni di Compromissione (IOCs)
- Domaine sospetti:
ipcheck[.]cloud,mirotalk[.]net - Indirizzi IP:
45.61.158.14,167.88.36.13,95.164.17.24
L’attività persistente e la diversità delle tecniche di attacco utilizzate dimostrano che le minacce informatiche provenienti dalla Corea del Nord rimangono una sfida significativa per la comunità globale degli sviluppatori. Gli attacchi sfruttano vulnerabilità nella catena di fornitura del software, evidenziando la necessità di una maggiore vigilanza e di misure di sicurezza più robuste da parte di sviluppatori e aziende.
