Северокорейские хакеры атакуют разработчиков через npm
Северокорейские хакеры вновь вышли на охоту – их новая «мальварь» (вредоносное ПО) массово появляется в популярном среди программистов реестре npm. Смысл прост: загрузить как можно больше вредоносных пакетов в систему, чтобы пробраться через слабые места в цепочке поставки и ударить по западным IT-компаниям.
Исследователи из компании Socket выявили 67 новых вредоносных пакетов, ставших продолжением прошлой атаки, в рамках которой публиковалось уже 35 похожих. Операция получила характерное название – Contagious Interview («Заразительное собеседование»). По словам Кирилла Бойченко, одного из ведущих специалистов Socket, кибервойна превращается в игру «кота и мышки»: защитники обнаруживают и удаляют вредоносные пакеты, но хакеры только и делают, что выкладывают новые – модернизируя свои трюки.
Загрузка кода на npm — это лишь подготовка. Главный спектакль разыгрывается на других площадках: LinkedIn, Telegram, Discord. Здесь северокорейские хакеры прикидываются кадровиками и топ-рекрутерами известных IT-фирм и предлагают ничего не подозревающим разработчикам мечту — привлекательную работу.
После нескольких этапов «собеседований» кандидата просят выполнить тестовое задание. Для этого необходимо скачать и запустить npm-пакет – тот самый, в котором сидит хищная малварь. И тогда уже не важно, мечтали вы о Silicon Valley или о зарплате в рублях: ваш компьютер заражён, ваши данные под угрозой. Не говоря о том, что заразиться может и любой другой пользователь, который скачает заражённый пакет.
Общее число скачиваний этих пакетов превысило 17 000 – весьма внушительный масштаб атаки, который расширяет возможности для взлома.
Для Северной Кореи это почти традиционный способ добычи денег и секретов. Хакеры из КНДР известны своими фейковыми предложениями работы и фальшивыми профилями, с помощью которых занимаются кибершпионажем и кражами криптовалюты. Всё ради финансирования государства и его ядерных амбиций.
В арсенале у кибергруппировки самые разношерстные малвари: BeaverTail для кражи данных, XORIndex Loader, HexEval – и кто знает, какие ещё свежие заразы. Как подчёркивают в Socket, банда не собирается останавливаться: они просто будут менять названия и маскировку, придумывая новые вариации своих пакетов и новых разработчиков-«кукловодов», а их вредоносное ПО будет эволюционировать.
Добро пожаловать в мир, где за предложение работы вы можете заплатить не только репутацией, но и деньгами — или даже чем-то похуже.
Северокорейские хакеры отрабатывают классическую схему цифрового отлова лохов на современном техно-рынке. Под маской вежливых HR-кандидатов они таргетируют жаждущих светлого будущего программистов через LinkedIn и Discord, превращая тестовые задания в пропуск в мир малвари-экзекуции. Сценарий очевиден: сначала рекрутеры постят резюме о вакансии мечты, потом жертва скачивает npm-пакет, а на выходе — собственноручно устанавливает вредонос на свой комп. Канал привычный — npm, схема стара, нервы только у одних длиннее: когда защитники удаляют старые пакеты, северокорейцы накидывают новые маски и прут дальше, как бодрые ребята на спорте.
Весь лимонад — из приторных мотивов правительства КНДР: нужны валютные поступления, покрывать хочется расходы на очередной атомный баян. Потому и крадут в одну каску либо коды ПО, либо биткоины. Ландшафт мелкотравчатый, но внушительный — за раз сливают 17 000 установок. Линия фронта проходит там, где текучка кадров и страсть к бесплатной вакансии сильнее осторожности. Ничего удивительного: люди верят обещаниям, проигрывая судьбу на финальном испытании для позиции frontend-разработчика.
Если вдруг увидите новую вакансию, лишний раз подумайте — не станете ли вы донором северокорейской ракетной фантазии.