یافتههای جدید Phylum نشان میدهد که مجموعهای از بستههای مخرب npm در مخزن Node.js کشف شده و به هکرهای تحت حمایت دولت کره شمالی مرتبط است.
بستهها execution-time-async، data-time-utils، login-time-utils، mongodb-connection-utils و mongodb-execution-utils نام دارند.
یکی از بستههای مورد بحث، execution-time-async است که خودش را execution-time ،کتابخانهای با بیش از ۲۷۰۰۰ دانلود در هفته، جا میزند. Execution-time یک ابزار Node.js است که برای اندازه گیری زمان اجرا در کد استفاده می شود.
Phylum با توصیف این کمپین به عنوان یک حمله زنجیره تامین نرمافزار که توسعهدهندگان نرمافزار را هدف قرار میدهد، گفت: «در واقع در این بسته چندین اسکریپت مخرب از جمله یک سارق ارز دیجیتال و اعتبار نیز نصب میشود. این بسته قبل از حذف شدن، ۳۰۲ بار از ۴ فوریه ۲۰۲۴ دانلود شده است.
عوامل تهدید تلاش کردند تا کد مخرب مبهم را در یک فایل آزمایشی پنهان کنند، فایلی که برای دریافت بارهای مرحله بعدی از یک سرور راه دور، سرقت اطلاعات کاربری از مرورگرهای وب مانند Brave، Google Chrome و Opera، و یک اسکریپت پایتون را بازیابی کنید، که به نوبه خود، اسکریپت های دیگر را دانلود می کند.
ارتباط با عوامل تهدید کره شمالی از این واقعیت ناشی می شود که جاوا اسکریپت مبهم تعبیه شده در بسته npm با بدافزار دیگر مبتنی بر جاوا اسکریپت به نام BeaverTail که از طریق بستههای npm منتشر میشود، همپوشانی دارد. این کمپین در نوامبر ۲۰۲۳ توسط واحد ۴۲ شبکههای پالو آلتو با اسم رمز مصاحبه مسری شناخته شد.
منبع: https://thehackernews.com/2024/02/north-korean-hackers-targeting.html
