Hackers norcoreanos difunden malware BeaverTail mediante paquetes npm maliciosos
Ha surgido una nueva ola de ataques de hackers norcoreanos, dirigidos a la comunidad de desarrollo de software mediante paquetes npm maliciosos. Estos paquetes, asociados con la campaña "Entrevista Contagiosa", están diseñados para distribuir el malware BeaverTail , así como un cargador de troyano de acceso remoto (RAT) recientemente descubierto. Esta campaña forma parte de una iniciativa más amplia del Grupo Lazarus para infiltrarse en sistemas, robar datos confidenciales y mantener el acceso a largo plazo a dispositivos comprometidos.
Tabla de contenido
Técnicas de ofuscación utilizadas para evadir la detección
Según Kirill Boychenko, investigador de seguridad de Socket, estas últimas muestras emplean la codificación de cadenas hexadecimales como técnica de ofuscación, lo que dificulta su detección tanto por sistemas automatizados como por auditorías manuales de código. Esta actualización en la estrategia de evasión del malware muestra una clara evolución en los métodos de los actores de amenazas para eludir las medidas de seguridad.
Paquetes maliciosos que se hacen pasar por herramientas de desarrollo
Los paquetes npm maliciosos se descargaron más de 5600 veces antes de ser eliminados. Algunos de los paquetes peligrosos incluían empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log y consolidate-logger. Estos paquetes pretendían hacerse pasar por utilidades o depuradores legítimos, pero en realidad contenían las cargas maliciosas.
Robo de datos mediante entrevistas de trabajo falsas
Esta revelación surge tras un incidente similar ocurrido un mes antes, cuando se descubrieron seis paquetes npm que propagaban BeaverTail, un ladrón de JavaScript que también incluía una puerta trasera basada en Python llamada InvisibleFerret. El objetivo final de estos ataques es infiltrarse en los sistemas de los desarrolladores bajo la apariencia de procesos de entrevistas de trabajo. Una vez dentro, el malware roba información confidencial, desvía activos financieros y permite a los hackers mantener acceso persistente a los sistemas comprometidos.
Enlaces al Grupo Lázaro y la Campaña Circuito Fantasma
Un paquete notable, dev-debugger-vite, utilizaba una dirección de comando y control (C2) previamente identificada por SecurityScorecard como asociada con el Grupo Lazarus en una campaña denominada Circuito Fantasma, ocurrida en diciembre de 2024. Se descubrió que otros paquetes, como events-utils e icloud-cod, estaban vinculados a repositorios de Bitbucket, diferenciándose de los objetivos habituales de GitHub observados en campañas anteriores. Este cambio, junto con el directorio "eiwork_hire" presente en el paquete icloud-cod, indica que los atacantes continúan utilizando tácticas relacionadas con entrevistas de trabajo para activar la infección.
Múltiples variantes para maximizar el éxito de la infección
Un análisis de algunos paquetes, como cln-logger, node-clog, consolidate-log y consolidate-logger, reveló pequeñas variaciones en el código. Estos cambios sugieren que los actores de amenazas intentan aumentar la tasa de éxito de su campaña mediante la implementación de múltiples variantes de malware. A pesar de estas diferencias, el código integrado en estos cuatro paquetes funciona como un cargador de RAT capaz de obtener y ejecutar cargas útiles adicionales desde servidores remotos. En esta etapa, la naturaleza exacta del malware cargado sigue siendo incierta, ya que los endpoints C2 ya no servían cargas útiles cuando los investigadores realizaron la investigación.
RAT Loader permite el control remoto de sistemas infectados
Boychenko describió el código malicioso como un cargador activo con capacidades de RAT, que utiliza eval() para obtener y ejecutar JavaScript remoto. Este método permite a los atacantes implementar cualquier malware posterior de su elección, lo que convierte al cargador de RAT en una amenaza significativa en sí mismo.
La contagiosa campaña de entrevistas no muestra señales de desaceleración
Estos hallazgos ponen de relieve la persistencia de la campaña "Entrevista Contagiosa". Los atacantes no han dado señales de desaceleración, y siguen creando nuevas cuentas npm y distribuyendo código malicioso en diversas plataformas como npm, GitHub y Bitbucket. Además, han diversificado sus tácticas, publicando nuevo malware bajo diferentes alias, utilizando una combinación de repositorios y aprovechando variantes de malware conocidas como BeaverTail e InvisibleFerret, junto con nuevas variantes de RAT/loader.
El malware Tropidoor surge en ataques de phishing dirigidos a desarrolladores
Mientras tanto, la empresa surcoreana de ciberseguridad AhnLab ha descubierto recientemente otro aspecto de la campaña. Identificaron un ataque de phishing con temática de reclutamiento que distribuye BeaverTail, el cual se utiliza para implementar Tropidoor, una puerta trasera de Windows previamente no documentada. Esta puerta trasera, distribuida a través de una biblioteca npm alojada en Bitbucket, es capaz de realizar una amplia gama de acciones maliciosas. Tropidoor puede exfiltrar archivos, recopilar información sobre unidades y archivos, ejecutar procesos, realizar capturas de pantalla e incluso eliminar o sobrescribir archivos con datos nulos o basura.
Las capacidades avanzadas sugieren un vínculo a malware conocido de Lazarus
El análisis de AhnLab reveló que Tropidoor opera en memoria mediante un descargador y contacta con un servidor C2 para recibir instrucciones. El malware utiliza directamente comandos de Windows como schtasks, ping y reg, que también se han observado en otro malware del Grupo Lazarus, como LightlessCan. Esta conexión vincula aún más la actividad actual con el grupo norcoreano, conocido por el uso de sofisticadas tácticas de ciberespionaje .
Se insta a los desarrolladores a mantenerse alerta ante los ataques a la cadena de suministro
Las últimas revelaciones subrayan la amenaza constante que representan el Grupo Lazarus y otros actores de APT. Tanto desarrolladores como usuarios deben tener cuidado al descargar paquetes o abrir archivos de fuentes desconocidas o sospechosas. A medida que estos ataques siguen evolucionando, mantenerse alerta ante las campañas de phishing e inspeccionar las dependencias en busca de código malicioso es crucial para proteger la información confidencial y evitar que caiga en manos indebidas.