Собеседование мечты, GitHub-проект и npm install. Три шага до того, как ваш ПК станет чужим

Обнаружена новая волна вредоносных npm-пакетов, связанных с продолжающейся операцией Contagious Interview , которую связывают с Северной Кореей. Об этом сообщила компания Socket, занимающаяся анализом уязвимостей в программном обеспечении.

В рамках атаки злоумышленники выгрузили 35 вредоносных пакетов с 24 различных npm-аккаунтов. Совокупное количество их загрузок уже превысило 4000. Среди пострадавших пакетов фигурируют такие популярные библиотеки, как «react-plaid-sdk», «sumsub-node-websdk», «vite-plugin-next-refresh», «node-orm-mongoose» и ряд других. На данный момент шесть из этих пакетов всё ещё остаются доступными для скачивания на платформе npm.

Как установили специалисты Socket, все заражённые пакеты содержат скрытый загрузчик под названием HexEval. Этот инструмент внедряется в систему после установки пакета и собирает сведения о заражённом устройстве. На следующем этапе он может загружать дополнительное вредоносное ПО — известного JavaScript-стилера BeaverTail.

BeaverTail , в свою очередь, служит промежуточным звеном и используется для загрузки и активации Python-бэкдора InvisibleFerret . С его помощью атакующие могут собирать конфиденциальную информацию и получать удалённый доступ к заражённым устройствам.

По словам Кирилла Бойченко из Socket, многоуровневая структура этого вредоносного инструментария позволяет эффективно обходить стандартные методы проверки безопасности, включая статический анализ и ручные ревизии кода. Кроме того, зафиксированы случаи, когда один из npm-аккаунтов злоумышленников распространял кроссплатформенный кейлоггер — программу для скрытого перехвата всех нажатий клавиш, что позволяет значительно расширить объём собираемой информации.

Операция Contagious Interview впервые была публично зафиксирована аналитиками Unit 42 из Palo Alto Networks в конце 2023 года. Её целью является получение доступа к компьютерам разработчиков для последующего хищения криптовалюты и данных. За этой киберпреступной активностью стоит группа, отслеживаемая под разными названиями: CL-STA-0240, DeceptiveDevelopment, DEVPOPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 и Void Dokkaebi.

В более свежих эпизодах кампании использовалась и другая схема социальной инженерии под названием ClickFake Interview. Здесь жертвам под предлогом собеседования направляют вредоносное ПО через ссылки на проекты на GitHub или Bitbucket, в которые внедрены заражённые npm-пакеты.

Как отмечают специалисты, злоумышленники активно эксплуатируют доверие, которое программисты и соискатели испытывают к рекрутерам. Сценарий атаки строится следующим образом: подставные личности через LinkedIn* связываются с потенциальными жертвами, предлагают им вакансию и пересылают задания, содержащие заражённый код.

Жертвы, как правило, запускают эти проекты в стандартной среде, не изолируя их в контейнерах, что облегчает заражение. Такой подход, совмещающий социальную инженерию, заражение через цепочку поставок и методы обхода защиты, подчёркивает высокий уровень подготовки злоумышленников и их готовность постоянно совершенствовать тактику.

В Socket предупреждают, что активность северокорейских хакеров демонстрирует эволюцию методов кибератак через инфраструктуру разработчиков. Встраивание вредоносного кода в популярные open-source библиотеки, маскировка под безобидные задания и работа через фальшивые вакансии позволяют обходить классические периметры защиты и целенаправленно заражать компьютеры разработчиков.

* Социальная сеть запрещена на территории Российской Федерации.