الأمن السيبراني Moonstone, npm, Sleet, إلى, الشماليون, الضارة, الكوريون, المتسللون, بدفع, حزم, سجل, قام eshrag أغسطس 6, 2024

قام المتسللون الكوريون الشماليون Moonstone Sleet بدفع حزم JS الضارة إلى سجل npm

06 أغسطس 2024رافي لاكشمانانالبرامج الضارة / أمن ويندوز

ممثل التهديد المرتبط بكوريا الشمالية المعروف باسم صقيع حجر القمر واصلت دفع حزم npm الضارة إلى سجل حزم JavaScript بهدف إصابة أنظمة Windows، مما يؤكد الطبيعة المستمرة لحملاتها.

الحزم المعنية، harthat-api و حارثات-التجزئة، تم نشرها في 7 يوليو 2024، وفقًا لـ Datadog Security Labs. لم تجتذب كلتا المكتبتين أي تنزيلات وتم سحبهما بعد فترة قصيرة من الزمن.

يقوم الذراع الأمني لشركة المراقبة السحابية بتتبع ممثل التهديد تحت اسم Stressed Pungsan، والذي يظهر تداخلات مع مجموعة الأنشطة الخبيثة المكتشفة حديثًا في كوريا الشمالية والتي يطلق عليها اسم Moonstone Sleet.

“بينما يشبه الاسم قبعة الثابت npm (أداة مساعدة لتطوير Ethereum)، فإن محتواها لا يشير إلى أي نية لنسخها،” باحثو Datadog سيباستيان أوبريغوسو وزاك ألين قال. “تعيد الحزمة الضارة استخدام التعليمات البرمجية من مستودع GitHub المعروف المسمى عقدة التكوين مع أكثر من 6000 نجمة و500 شوكة، والمعروفة في npm باسم config.”

من المعروف أن سلاسل الهجوم التي تنظمها المجموعة المعادية تنشر ملفات أرشيف ZIP زائفة عبر LinkedIn تحت اسم شركة مزيف أو مواقع ويب مستقلة، مما يغري الأهداف المحتملة بتنفيذ حمولات تستدعي حزمة npm كجزء من تقييم مفترض للمهارات التقنية.

لاحظت Microsoft في مايو 2024: “عند تحميلها، استخدمت الحزمة الضارة cur للاتصال بعنوان IP يتحكم فيه الممثل وإسقاط حمولات ضارة إضافية مثل SplitLoader”. LSASS.”

كشفت النتائج اللاحقة من Checkmarx أن Moonstone Sleet كان يحاول أيضًا نشر حزمه من خلال سجل npm.

تم تصميم الحزم المكتشفة حديثًا لتشغيل برنامج نصي للتثبيت المسبق محدد في ملف package.json، والذي بدوره يتحقق مما إذا كان يعمل على نظام Windows (“Windows_NT”)، وبعد ذلك يتصل بخادم خارجي (“142.111″). .77[.]196”) لتنزيل ملف DLL يتم تحميله جانبيًا باستخدام ملف rundll32.exe ثنائي.

ومن جانبها، لا تقوم مكتبة الارتباط الديناميكي (DLL) المارقة بأي إجراءات ضارة، مما يشير إما إلى التشغيل التجريبي للبنية التحتية لتسليم الحمولة النافعة الخاصة بها أو أنه تم دفعها عن غير قصد إلى السجل قبل تضمين تعليمات برمجية ضارة فيها.

ويأتي هذا التطور في الوقت الذي يقوم فيه المركز الوطني للأمن السيبراني في كوريا الجنوبية (NCSC) حذر من الهجمات الإلكترونية التي شنتها مجموعات التهديد الكورية الشمالية التي يتم تتبعها باسم Andariel وKimsuky لتوصيل عائلات البرامج الضارة مثل Dora RAT وTrollAgent (المعروفة أيضًا باسم Troll Stealer) كجزء من حملات التطفل التي تستهدف قطاعات البناء والآلات في البلاد.

يعد تسلسل هجوم Dora RAT جديرًا بالملاحظة نظرًا لحقيقة أن قراصنة Andariel استغلوا نقاط الضعف في آلية تحديث برامج برنامج VPN المحلي لنشر البرامج الضارة.

وجدت هذه المادة مثيرة للاهتمام؟ اتبعنا تويتر و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link