Menace des packages malveillants sur le registre npm
Des acteurs de la menace liés à la Corée du Nord ont été observés en train de publier un ensemble de packages malveillants sur le registre npm, indiquant des efforts « coordonnés et implacables » pour cibler les développeurs avec des logiciels malveillants et voler des actifs de cryptomonnaie.
La dernière vague, observée entre le 12 et le 27 août 2024, a impliqué des packages nommés temp-etherscan-api, etherscan-api, telegram-con, helmet-validate et qq-console.
Les comportements de cette campagne nous laissent penser que qq-console est attribuable à la campagne nord-coréenne connue sous le nom d »Interview contagieuse’, a déclaré la société de sécurité des chaînes d’approvisionnement logicielles Phylum.
Objectif final des attaques
L’objectif final des attaques est de déployer une charge utile Python nommée InvisibleFerret qui peut exfiltrer des données sensibles des extensions de navigateur de portefeuille de cryptomonnaie et établir une persistance sur l’hôte en utilisant des logiciels légitimes de bureau à distance tels que AnyDesk.
Le nouveau package helmet-validate adopte une nouvelle approche en incorporant un fichier de code JavaScript appelé config.js qui exécute directement du JavaScript hébergé sur un domaine distant (« ipcheck[.]cloud ») à l’aide de la fonction eval().
Famous Chollima se fait passer pour des employés informatiques dans des entreprises américaines
Cette révélation intervient alors que CrowdStrike a lié Famous Chollima (anciennement BadClone) à des opérations de menace intérieure qui consistent à infiltrer des environnements d’entreprise sous le prétexte d’un emploi légitime.
Alors que ces attaques sont principalement motivées par des gains financiers, un sous-ensemble des incidents auraient impliqué l’exfiltration d’informations sensibles. CrowdStrike a identifié les acteurs de la menace postulant à ou travaillant activement pour plus de 100 entreprises uniques au cours de la dernière année, la plupart étant situées aux États-Unis, en Arabie Saoudite, en France, aux Philippines et en Ukraine, entre autres.
Secteurs ciblés et modus operandi
Les secteurs visés de manière proéminente incluent la technologie, les services financiers, les services professionnels, la vente au détail, le transport, la fabrication, l’assurance, les produits pharmaceutiques, les médias sociaux et les entreprises médiatiques.
Après avoir obtenu un accès au niveau des employés aux réseaux des victimes, les insiders ont effectué des tâches minimales liées à leur rôle. Dans certains cas, les insiders ont également tenté d’exfiltrer des données en utilisant Git, SharePoint et OneDrive.
Source : thehackernews.com