Se descubrió que tres paquetes maliciosos publicados en el registro npm en septiembre de 2024 contenían un malware conocido llamado BeaverTail, un descargador de JavaScript y ladrón de información vinculado a una campaña en curso de Corea del Norte rastreada como Contagious Interview.
El equipo de Datadog Security Research está monitoreando la actividad bajo el nombre Pungsan tenazque también es conocido por los apodos CL-STA-0240 y Famous Chollima.
Los nombres de los paquetes maliciosos, que ya no están disponibles para descargar desde el registro de paquetes, se enumeran a continuación:
- passpass-js, una copia del pasaporte con puerta trasera (118 descargas)
- bcrypts-js, una copia con puerta trasera de bcryptjs (81 descargas)
- blockscan-api, una copia con puerta trasera de etherscan-api (124 descargas)
Contagious Interview se refiere a una campaña de un año de duración emprendida por la República Popular Democrática de Corea (RPDC) que implica engañar a los desarrolladores para que descarguen paquetes maliciosos o aplicaciones de videoconferencia aparentemente inocuas como parte de una prueba de codificación. Salió a la luz por primera vez en noviembre de 2023.
Esta no es la primera vez que los actores de amenazas utilizan paquetes npm para distribuir BeaverTail. En agosto de 2024, la empresa de seguridad de la cadena de suministro de software Phylum reveló otro grupo de paquetes npm que allanaron el camino para la implementación de BeaverTail y una puerta trasera de Python llamada InvisibleFerret.
Los nombres de los paquetes maliciosos identificados en ese momento eran temp-etherscan-api, ethersscan-api, telegram-con, casco-validate y qq-console. Un aspecto que es común a los dos conjuntos de paquetes es el esfuerzo continuo por parte de los actores de amenazas para imitar el paquete etherscan-api, lo que indica que el sector de las criptomonedas es un objetivo persistente.
Luego, el mes pasado, Stacklok dijo que detectó una nueva ola de paquetes falsificados (eslint-module-conf y eslint-scope-util) que están diseñados para recolectar criptomonedas y establecer acceso persistente a máquinas de desarrolladores comprometidas.
La Unidad 42 de Palo Alto Networks dijo a The Hacker News a principios de este mes que la campaña ha demostrado ser una forma eficaz de distribuir malware explotando la confianza y la urgencia de un solicitante de empleo al solicitar oportunidades en línea.
Los hallazgos resaltan cómo los actores de amenazas están haciendo un uso cada vez más indebido de la cadena de suministro de software de código abierto como vector de ataque para infectar objetivos posteriores.
“Copiar y hacer puertas traseras a paquetes npm legítimos sigue siendo una táctica común de los actores de amenazas en este ecosistema”, dijo Datadog. “Estas campañas, junto con Contagious Interview en general, resaltan que los desarrolladores individuales siguen siendo objetivos valiosos para estos actores de amenazas vinculados a la RPDC”.
