Kuzey Koreli Hackerlar Moonstone Sleet Kötü Amaçlı JS Paketlerini npm Kayıt Defterine Gönderiyor.

Moonstone Sleet olarak bilinen Kuzey Kore bağlantılı tehdit aktörü, Windows sistemlerini enfekte etme amacıyla JavaScript paket kayıt defterine kötü amaçlı npm paketleri göndermeye devam ederek kampanyalarının kalıcı doğasını vurguluyor.

Söz konusu paketler, harthat-api ve harthat-hash, Datadog Security Labs'a göre 7 Temmuz 2024'te yayınlandı. Her iki kütüphane de herhangi bir indirme çekmedi ve kısa bir süre sonra geri çekildi.

Bulut izleme firmasının güvenlik kolu, Stressed Pungsan adlı tehdit aktörüyle bağlantı kuruyor. Bu tehdit aktörü, Moonstone Sleet adı verilen yeni keşfedilen Kuzey Koreli kötü amaçlı etkinlik kümesiyle örtüşüyor.

"İsmi Hardhat npm paketine (bir Ethereum geliştirme aracı) benzesede, içeriğinde yazım yanlışı yapma niyeti yok," dedi Datadog araştırmacıları Sebastian Obregoso ve Zack Allen. "Kötü amaçlı paket, 6.000'den fazla yıldız ve 500 çatala sahip node-config adlı iyi bilinen bir GitHub deposundan gelen kodu yeniden kullanıyor, npm'de config olarak bilinir."

Saldırgan kolektif tarafından düzenlenen saldırı zincirlerinin, sahte bir şirket adı veya serbest çalışan web siteleri altında LinkedIn üzerinden sahte ZIP arşiv dosyaları yaydığı ve olası hedefleri, sözde teknik beceri değerlendirmesinin bir parçası olarak bir npm paketini çağıran bir sonraki aşama yüklerini yürütmeye teşvik ettiği bilinmektedir.

"Yüklendiğinde, kötü amaçlı paket, aktör tarafından kontrol edilen bir IP'ye bağlanmak ve SplitLoader gibi ek kötü amaçlı yükler bırakmak için curl'ü kullandı," Microsoft Mayıs 2024'te belirtti. "Başka bir olayda, Moonstone Sleet, LSASS'den kimlik bilgisi hırsızlığına yol açan kötü amaçlı bir npm yükleyicisi teslim etti."

Checkmarx'ın daha sonraki bulguları, Moonstone Sleet'in de paketlerini npm kayıt defteri aracılığıyla yaymaya çalıştığını ortaya çıkardı.

Yeni keşfedilen paketler, package.json dosyasında belirtilen bir ön kurulum betiğini çalıştırmak üzere tasarlanmıştır; buda bir Windows sisteminde ("Windows_NT") çalışıp çalışmadığını kontrol eder ve ardından rundll32.exe ikili dosyası kullanılarak yan yüklenen bir DLL dosyasını indirmek için harici bir sunucuyla ("142.111.77[.]196") iletişim kurar.

Sahte DLL ise herhangi bir kötü amaçlı eylemde bulunmuyor. Bu durum ya yük dağıtım altyapısının denendiğini ya da kötü amaçlı kod yerleştirilmeden önce kayıt defterine yanlışlıkla yüklendiğini gösteriyor.

Gelişme, Güney Kore Ulusal Siber Güvenlik Merkezi'nin (NCSC), ülkedeki inşaat ve makine sektörlerini hedef alan saldırı kampanyalarının bir parçası olarak Dora RAT ve TrollAgent (diğer adıyla Troll Stealer) gibi kötü amaçlı yazılım ailelerini dağıtmak için Andariel ve Kimsuky olarak takip edilen Kuzey Koreli tehdit gruplarının düzenlediği siber saldırılar konusunda uyarıda bulunmasının ardından geldi.

Dora RAT saldırı dizisi, Andariel saldırganlarının kötü amaçlı yazılımı yaymak için yerel bir VPN yazılımının yazılım güncelleme mekanizmasındaki güvenlik açıklarından yararlanmaları nedeniyle dikkat edilmelidir.