Ancaman dari Korea Utara: Paket NPM Berbahaya Intai Pengembang

Aktor ancaman yang memiliki hubungan dengan Korea Utara telah terdeteksi menerbitkan serangkaian paket berbahaya ke dalam registry Node Package Manager (NPM), mengindikasikan upaya yang "terkoordinasi dan berkelanjutan" untuk menargetkan pengembang melalui malware dan mencuri aset mata uang kripto.

Gelombang serangan terbaru, yang diamati antara 12 dan 27 Agustus 2024, melibatkan paket-paket bernama ‘temp-etherscan-api’ , ‘ethersscan-api’ , ‘ telegram-con’ , ‘helmet-validate’ , dan ‘qq-console’.

"Perilaku dalam kampanye ini membuat kami percaya bahwa ‘qq-console’ terkait dengan kampanye Korea Utara yang dikenal sebagai 'Contagious Interview,'" ujar perusahaan keamanan supplay chain perangkat lunak, Phylum.

'Contagious Interview' merujuk pada kampanye berkelanjutan yang berupaya membahayakan pengembang perangkat lunak dengan malware pencuri informasi sebagai bagian dari proses wawancara kerja yang menipu korban untuk mengunduh paket npm palsu atau installer palsu untuk perangkat lunak konferensi video seperti MiroTalk yang dihosting di situs web palsu.

Tujuan akhir dari serangan ini adalah menyebarkan muatan Python bernama ‘InvisibleFerret’ , yang mampu mengekstrak data sensitif dari ekstensi peramban dompet mata uang kripto dan mempertahankan keberadaannya di host menggunakan perangkat lunak desktop jarak jauh yang sah seperti AnyDesk. CrowdStrike melacak aktivitas ini dengan nama samaran 'Famous Chollima.'

Paket helmet-validate yang baru ditemukan mengadopsi pendekatan baru dengan menanamkan kode JavaScript bernama ‘config.js’ yang langsung mengeksekusi JavaScript dari domain jarak jauh ("ipcheck[.]cloud") menggunakan fungsi ‘eval()’ .

"Penyelidikan kami menemukan bahwa ipcheck[.]cloud mengarah ke alamat IP yang sama (167[.]88[.]36[.]13) yang sebelumnya mengarah ke mirotalk[.]net saat sedang online," ungkap Phylum, menunjukkan kemungkinan hubungan antara kedua rangkaian serangan tersebut.

Perusahaan juga mengidentifikasi paket lain bernama ‘sass-notification’ , diunggah pada 27 Agustus 2024, yang memiliki kesamaan dengan pustaka npm tidak dikenal sebelumnya seperti ‘call-blockflow’. Paket-paket ini dikaitkan dengan kelompok ancaman Korea Utara lainnya yang dikenal sebagai 'Moonstone Sleet.'

"Serangan ini ditandai dengan penggunaan JavaScript yang dikaburkan untuk menulis dan menjalankan skrip batch dan PowerShell," jelas Phylum. "Skrip ini mengunduh dan mendekripsi muatan jarak jauh, mengeksekusinya sebagai DLL, lalu mencoba menghapus jejak aktivitas berbahaya, sehingga paket terlihat tidak berbahaya di komputer korban."

Famous Chollima Menyamar sebagai Pekerja IT di Perusahaan AS

Pengungkapan ini muncul saat CrowdStrike mengaitkan Famous Chollima (sebelumnya dikenal sebagai BadClone) dengan operasi ancaman orang dalam yang melibatkan infiltrasi ke dalam lingkungan perusahaan di bawah kedok pekerjaan yang sah.

"Famous Chollima menjalankan operasi ini dengan memperoleh kontrak atau pekerjaan penuh waktu yang setara, menggunakan dokumen identitas palsu atau curian untuk menghindari pemeriksaan latar belakang," kata perusahaan tersebut. "Saat melamar pekerjaan, agen orang dalam jahat ini menyerahkan resume yang biasanya mencantumkan pengalaman di perusahaan-perusahaan terkemuka, serta perusahaan lain yang kurang dikenal dan fiktif."

Meskipun serangan ini sebagian besar bermotif finansial, beberapa insiden juga melibatkan pencurian informasi sensitif. CrowdStrike mengungkapkan bahwa mereka telah mengidentifikasi aktor ancaman yang melamar atau bekerja di lebih dari 100 perusahaan unik dalam satu tahun terakhir, yang sebagian besar berbasis di AS, Arab Saudi, Prancis, Filipina, dan Ukraina, di antara negara-negara lainnya.

Sektor-sektor yang paling sering menjadi target mencakup perusahaan teknologi, fintech, jasa keuangan, jasa profesional, ritel, transportasi, manufaktur, asuransi, farmasi, media sosial, dan media.

"Setelah memperoleh akses tingkat karyawan ke jaringan korban, agen orang dalam ini melakukan tugas minimal yang terkait dengan peran pekerjaan mereka," jelas perusahaan tersebut lebih lanjut. "Dalam beberapa kasus, mereka juga berupaya mencuri data menggunakan Git, SharePoint, dan OneDrive."

"Selain itu, agen orang dalam ini memasang alat RMM seperti RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels, dan Google Chrome Remote Desktop. Mereka kemudian memanfaatkan alat-alat RMM ini bersama dengan kredensial jaringan perusahaan, yang memungkinkan banyak alamat IP terhubung ke sistem korban."