Nordkoreanische Angreifer haben 26 bösartige npm-Pakete veröffentlicht, die als Entwickler-Tools getarnt sind und einen Remote-Access-Trojaner mit versteckten C2-Befehlen in Pastebin-Inhalten übermitteln.
Sicherheitsforscher haben eine neue Variante der sogenannten Contagious Interview-Kampagne aufgedeckt: Nordkoreanische Cyberangreifer haben 26 manipulierte Pakete in die npm-Registry eingeschleust. Diese geben sich als legitime Entwicklungswerkzeuge aus, enthalten jedoch Schadsoftware, die mittels Steganografie versteckte Befehls- und Kontrollserver (C2) offenbart und letztlich einen Trojaner zum Diebstahl von Anmeldedaten sowie einen Remote-Access-Tool auf Zielmaschinen bringt.
Die Kampagne wurde von den Sicherheitsforschern Socket und kmsec.uk unter dem Namen StegaBin dokumentiert und der nordkoreanischen Hacker-Gruppe Famous Chollima zugeordnet. Die C2-Infrastruktur ist über 31 Vercel-Deployments verteilt.
Die Funktionsweise ist raffiniert: Während der Installation führt ein automatisches Skript (install.js) eine Malware-Routine aus, die Pastebin-Inhalte ausliest. Diese erscheinen zunächst als harmlose Essays über Informatik, enthalten jedoch versteckt kodierte Adressen der Kontrollserver. Der Trojaner dekodiert diese Zeichen an bestimmten Positionen des Textes und extrahiert so die echten C2-URLs.
“Der Decoder entfernt Zero-Width-Unicode-Zeichen, liest Längenkennzeichen und berechnet gleichmäßig verteilte Positionen im Text”, erklären Socket-Forscher. Die extrahierten Zeichen werden dann zu einer Liste von C2-Domainen zusammengesetzt.
Anschließend wird plattformspezifische Malware für Windows, macOS und Linux heruntergeladen. Der Trojaner verbindet sich dann mit 103.106.67.63:1244 und wartet auf Befehle. Das bösartige Modul verfügt über neun Funktionen: VS-Code-Persistenz, Tastenanschläge-Protokollierung, Zwischenablage-Diebstahl, Browser-Credential-Harvesting, Geheimnis-Scanning mit TruffleHog sowie Exfiltration von Git-Repositories und SSH-Schlüsseln.
Diese neueste Welle zeigt ein verfeinertes Evasions-Verfahren. Während frühere Varianten der Contagious Interview-Kampagne relativ einfache Malware-Skripte verwendeten, setzen die Angreifer jetzt auf Steganografie und mehrstufiges Payload-Routing über Vercel, um automatische Erkennungssysteme zu umgehen.
Beim Einsatz dieser Techniken ist derzeit erst ein einziges npm-Paket mit einer neuen Methode zum Download von Payloads von Google Drive bekannt. Experten erwarten, dass Famous Chollima weiterhin verschiedene Techniken und Infrastrukturen kombinieren wird, um ihre Widerstandsfähigkeit zu erhöhen.
Quelle: The Hacker News