ظهور مجدد بسته‌های مخرب کره شمالی در مخزن کد متن‌باز

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، شرکت امنیت سایبری فیلوم (Phylum)، که در نظارت بر زنجیره تأمین نرم‌افزارهای متن‌باز تخصص دارد، اعلام کرد که اخیراً شاهد افزایش فعالیت‌های گروه‌های کره شمالی با نام‌های کانتیجس اینترویوو (Contagious Interview) و مون استون اسلیت (Moonstone Sleet) در npm بوده است.

مخزن npm به توسعه‌دهندگان اجازه می‌دهد بسته‌ها، کتابخانه‌ها و ابزارهای جاوا اسکریپت را منتشر و به اشتراک بگذارند.

طبق گزارش‌های قبلی، گروه کانتیجس اینترویوو این نام را به دلیل اقدامات قبلی خود برای آلوده کردن توسعه‌دهندگان از طریق مصاحبه‌های شغلی ساختگی دریافت کرده است.

گروه مون استون اسلیت، شرکت‌های نرم‌افزاری و شرکت‌های دفاعی را با انواع سفارشی باج‌افزار و کلاهبرداری‌های پیچیده هدف قرار داده است.

کره شمالی به دلیل سرقت ارزهای دیجیتال و اجرای کلاهبرداری‌هایی که برای تأمین مالی برنامه تسلیحات هسته‌ای تحریم‌شده و دیگر عملیات‌ها استفاده می‌شوند، شناخته شده است.

شرکت فیلوم اعلام کرد بسته‌های مخربی که در npm منتشر شده‌اند با نام‌های temp-etherscan-api، ethersscan-api، telegram-con، helmet-validate و qq-console شناخته می‌شوند.

محققان اعلام کردند:

این حملات با جاوا اسکریپت‌های مبهم چند مرحله‌ای شناخته می‌شوند که اجزای بدافزار اضافی را از سرورهای راه دور دانلود می‌کنند.

هدف احتمالی این هکرها شامل سرقت داده‌های حساس از افزونه‌های مرورگر کیف پول‌های ارز دیجیتال و ایجاد ماندگاری در دستگاه قربانی است.

شرکت فیلوم در ادامه افزود:

این دشمنان به طور مداوم از اعتماد ذاتی در اکوسیستم npm سوءاستفاده می‌کنند تا توسعه‌دهندگان را آلوده، به شرکت‌ها نفوذ کرده و ارز دیجیتال یا هر دارایی دیگری را که می‌تواند به سود مالی غیرقانونی منجر شود، به سرقت ببرند.