Contagious Interview: Malware npm dalla Corea del Nord insidia gli sviluppatori – Attacco sofisticato colpisce la supply chain
Featured

Contagious Interview: Malware npm dalla Corea del Nord insidia gli sviluppatori – Attacco sofisticato colpisce la supply chain

news Visite: 2397

Negli ultimi mesi sono emersi nuovi dettagli su una sofisticata campagna di attacco supply chain collegata alla Corea del Nord, che prende di mira sviluppatori tramite la pubblicazione di pacchetti npm dannosi. In particolare, i ricercatori di cybersecurity hanno identificato 35 pacchetti malevoli diffusi attraverso 24 account npm distinti, con oltre 4000 download complessivi.

L'obiettivo principale di questi attacchi è compromettere i sistemi degli sviluppatori, sfruttando la fiducia che questi ripongono nelle piattaforme di open source e nei processi di selezione lavorativa.

Pacchetti npm e rischio attuale

I pacchetti npm coinvolti portano nomi che imitano librerie popolari o strumenti di sviluppo comuni, come react-plaid-sdk, sumsub-node-websdk, vite-plugin-next-refresh, node-orm-mongoose e altri. Alcuni di questi pacchetti risultano ancora disponibili per il download, rappresentando un rischio attivo per chi opera nell'ecosistema JavaScript e Node.js.

Modalità di attacco e payload utilizzati

Il funzionamento della minaccia si basa su un caricatore in formato esadecimale, chiamato HexEval, che raccoglie informazioni sull'host subito dopo l'installazione e, in modo selettivo, scarica un payload secondario noto come BeaverTail. Quest'ultimo è progettato per recuperare e eseguire una backdoor Python chiamata InvisibleFerret, che consente agli attaccanti di sottrarre dati sensibili e mantenere il controllo remoto sui sistemi infetti. In alcuni casi, gli attori malevoli hanno distribuito anche keylogger multipiattaforma per registrare ogni pressione dei tasti, dimostrando la capacità di adattare i payload in base al valore del bersaglio.

Tattiche di social engineering e supply chain

La campagna, denominata Contagious Interview, è attiva dal 2023 e si distingue per l'uso combinato di tecniche di social engineering e sfruttamento di supply chain open source. Gli attaccanti si presentano come recruiter su LinkedIn e altre piattaforme, contattando sviluppatori in cerca di lavoro e proponendo progetti di codice che includono i pacchetti npm infetti. Le vittime sono spesso indotte a eseguire questi progetti fuori da ambienti containerizzati, facilitando così l’esecuzione del malware.

Raffinatezza e maturità delle tecniche di attacco

Questa strategia multi-livello consente agli attori nordcoreani di eludere i controlli di sicurezza tradizionali, sfruttando la fiducia della community e la distribuzione di codice open source. L’uso di malware modulari, la minimizzazione delle tracce sui registry pubblici e la preferenza per attacchi mirati tramite OSINT e social engineering evidenziano una crescente maturità nelle tattiche di intrusione.

We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta