Negli ultimi mesi sono emersi nuovi dettagli su una sofisticata campagna di attacco supply chain collegata alla Corea del Nord, che prende di mira sviluppatori tramite la pubblicazione di pacchetti npm dannosi. In particolare, i ricercatori di cybersecurity hanno identificato 35 pacchetti malevoli diffusi attraverso 24 account npm distinti, con oltre 4000 download complessivi. L'obiettivo principale di questi attacchi è compromettere i sistemi degli sviluppatori, sfruttando la fiducia che questi ripongono nelle piattaforme di open source e nei processi di selezione lavorativa.

Pacchetti npm e rischio attuale

I pacchetti npm coinvolti portano nomi che imitano librerie popolari o strumenti di sviluppo comuni, come react-plaid-sdk, sumsub-node-websdk, vite-plugin-next-refresh, node-orm-mongoose e altri. Alcuni di questi pacchetti risultano ancora disponibili per il download, rappresentando un rischio attivo per chi opera nell'ecosistema JavaScript e Node.js.

Modalità di attacco e payload utilizzati

Il funzionamento della minaccia si basa su un caricatore in formato esadecimale, chiamato HexEval, che raccoglie informazioni sull'host subito dopo l'installazione e, in modo selettivo, scarica un payload secondario noto come BeaverTail. Quest'ultimo è progettato per recuperare e eseguire una backdoor Python chiamata InvisibleFerret, che consente agli attaccanti di sottrarre dati sensibili e mantenere il controllo remoto sui sistemi infetti. In alcuni casi, gli attori malevoli hanno distribuito anche keylogger multipiattaforma per registrare ogni pressione dei tasti, dimostrando la capacità di adattare i payload in base al valore del bersaglio.

Tattiche di social engineering e supply chain

La campagna, denominata Contagious Interview, è attiva dal 2023 e si distingue per l'uso combinato di tecniche di social engineering e sfruttamento di supply chain open source. Gli attaccanti si presentano come recruiter su LinkedIn e altre piattaforme, contattando sviluppatori in cerca di lavoro e proponendo progetti di codice che includono i pacchetti npm infetti. Le vittime sono spesso indotte a eseguire questi progetti fuori da ambienti containerizzati, facilitando così l’esecuzione del malware.

Raffinatezza e maturità delle tecniche di attacco

Questa strategia multi-livello consente agli attori nordcoreani di eludere i controlli di sicurezza tradizionali, sfruttando la fiducia della community e la distribuzione di codice open source. L’uso di malware modulari, la minimizzazione delle tracce sui registry pubblici e la preferenza per attacchi mirati tramite OSINT e social engineering evidenziano una crescente maturità nelle tattiche di intrusione.