แฮกเกอร์เกาหลีเหนือถล่ม npm! ปล่อย 197 แพ็กเกจใหม่ กระจายมัลแวร์ OtterCookie อัปเดต

Published:

 

กลุ่มแฮกเกอร์จากเกาหลีเหนือที่อยู่เบื้องหลังแคมเปญโจมตีชื่อ Contagious Interview ยังคงเดินหน้าโจมตีอย่างต่อเนื่อง โดยการปล่อยแพ็กเกจอันตรายใหม่ถึง 197 รายการ เข้าไปใน npm registry (คลังเก็บแพ็กเกจสำหรับนักพัฒนา JavaScript) ตั้งแต่เดือนที่แล้ว

ตามรายงานของบริษัท Socket แพ็กเกจเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 31,000 ครั้ง และถูกออกแบบมาเพื่อส่งมอบมัลแวร์สายพันธุ์ใหม่ที่ชื่อว่า OtterCookie ซึ่งเป็นการรวมเอาความสามารถของมัลแวร์ BeaverTail เข้ากับ OtterCookie เวอร์ชันก่อนหน้า

รายชื่อ "แพ็กเกจโหลดเดอร์" อันตรายบางส่วนที่ถูกระบุ:

  • bcryptjs-node
  • cross-sessions
  • json-oauth
  • node-tailwind
  • react-adparser
  • session-keeper
  • tailwind-magic
  • tailwindcss-forms
  • webpack-loadcss

เป้าหมายและความสามารถของมัลแวร์:

เมื่อมัลแวร์ทำงาน มันจะพยายามหลีกเลี่ยงการตรวจจับจาก Sandboxes และ Virtual Machines จากนั้นจะเก็บข้อมูลเครื่องเหยื่อ และสร้างช่องทาง Command-and-Control (C2) เพื่อให้แฮกเกอร์สามารถควบคุมเครื่องเหยื่อจากระยะไกลได้ มัลแวร์มีความสามารถในการ:

  • ขโมยข้อมูลในคลิปบอร์ด
  • บันทึกการกดแป้นพิมพ์ (Keylogs)
  • จับภาพหน้าจอ
  • รวบรวมข้อมูลประจำตัว (Credentials) ของเบราว์เซอร์
  • ขโมยเอกสารสำคัญ
  • ขโมยข้อมูลกระเป๋าเงินดิจิทัล (Cryptocurrency wallet data) และ Seed Phrases (วลีกู้คืนกระเป๋าเงิน)

กลยุทธ์ "การสัมภาษณ์งานติดเชื้อ" (Contagious Interview):

ก่อนหน้านี้ Cisco Talos ได้เปิดเผยว่าแคมเปญนี้ได้ส่งผลกระทบต่อองค์กรในศรีลังกา โดยเหยื่อถูกหลอกให้รันแอปพลิเคชัน Node.js โดยเป็นส่วนหนึ่งของ กระบวนการสัมภาษณ์งานปลอม การวิเคราะห์เพิ่มเติมพบว่า แพ็กเกจเหล่านี้จะเชื่อมต่อไปยัง URL ของ Vercel ("tetrismic.vercel[.]app") ซึ่งจะไปดึงโค้ดมัลแวร์ OtterCookie ข้ามแพลตฟอร์มมาจากคลัง GitHub ที่ควบคุมโดยแฮกเกอร์ (บัญชี GitHub ดังกล่าวถูกปิดไปแล้ว)

นักวิจัยด้านความปลอดภัย Kirill Boychenko ให้ความเห็นว่า "ความถี่ในการโจมตีที่ต่อเนื่องนี้ทำให้ Contagious Interview เป็นหนึ่งในแคมเปญที่ใช้ประโยชน์จาก npm มากที่สุด และแสดงให้เห็นว่าแฮกเกอร์เกาหลีเหนือได้ปรับเครื่องมือของตนเองให้เข้ากับเวิร์กโฟลว์การพัฒนา JavaScript และ Crypto ในยุคใหม่ได้อย่างไร"

อีกแคมเปญ: ClickFake Interview และมัลแวร์ GolangGhost:

นอกจากนี้ ยังมีการตรวจพบเว็บไซต์ประเมินผลปลอมที่สร้างโดยแฮกเกอร์ ซึ่งใช้คำแนะนำแบบ ClickFix เพื่อส่งมัลแวร์ชื่อ GolangGhost (หรือ FlexibleFerret / WeaselStore) โดยอ้างว่าจะช่วยแก้ไขปัญหาเรื่องกล้องหรือไมโครโฟน ซึ่งกิจกรรมนี้ถูกเรียกว่า ClickFake Interview

มัลแวร์ GolangGhost ที่เขียนด้วยภาษา Go จะติดต่อกับเซิร์ฟเวอร์ C2 ที่ถูกฝังไว้ และเข้าสู่โหมดรอรับคำสั่งเพื่อ:

  • รวบรวมข้อมูลระบบ
  • อัปโหลด/ดาวน์โหลดไฟล์
  • รันคำสั่งของระบบปฏิบัติการ
  • เก็บเกี่ยวข้อมูลจาก Google Chrome

ความคงทน (Persistence) บน macOS ถูกทำให้เกิดขึ้นโดยการเขียนไฟล์ LaunchAgent ที่จะสั่งให้สคริปต์ทำงานโดยอัตโนมัติเมื่อผู้ใช้ล็อกอิน

นอกจากนี้ ในห่วงโซ่การโจมตียังมีการติดตั้งแอปพลิเคชันล่อ (Decoy Application) ที่แสดงหน้าต่างปลอมว่า Chrome ต้องการเข้าถึงกล้อง เพื่อรักษาความเนียน จากนั้นจะแสดงหน้าต่างขอรหัสผ่านสไตล์ Chrome เพื่อขโมยข้อมูลที่ผู้ใช้กรอกแล้วส่งไปยังบัญชี Dropbox

ข้อสังเกต: แคมเปญ Contagious Interview มีความแตกต่างจากโครงการ "DPRK IT Worker" อื่น ๆ ที่มุ่งเน้นการแฝงตัวของแฮกเกอร์ในฐานะพนักงานไอทีในบริษัทถูกกฎหมาย โดย Contagious Interview มุ่งเน้นไปที่การประนีประนอมบุคคลผ่านกระบวนการสรรหาบุคลากรปลอม การมอบหมายงานโค้ดอันตราย และแพลตฟอร์มการจ้างงานปลอม ทำให้ กระบวนการสมัครงานกลายเป็นอาวุธ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์