Sjevernokorejski hakeri iskoristili su niz od 35 malicioznih npm paketa kako bi distribuisali malicozni softver više faza, fokusirajući se na programere koji traže posao. Ove maliciozne pakete je otkrio tim iz kompanije rečene u članku, a oni su kreirani da bi ciljali na profesionalce u oblasti programiranja.
Utvrđeno je da su napadači, povezani sa Sjevernom Korejom, koristili socijalni inženjering, navodeći programere da instaliraju kompromitovane biblioteke. Svrha ovih paketa je bila dalja eksfiltracija podataka i, u nekim slučajevima, instalacija malicioznog softvera nove generacije poznatog kao ‘Rollpiper’.
Ovaj napad je bio usmjeren na otvaranje radnih mjesta i proces zapošljavanja, gdje bi programeri tražili nove projekte ili prilike za zapošljavanje. Hakeri su kreirali pakete koji su imitirali legitimne biblioteke otvorenog koda, što je dovelo do toga da ih programeri, tražeći nove alate ili ažuriranja, integrišu u svoje razvojne procese. Jednom kada bi paket bio instaliran, aktivirao bi malicioznu funkciju, često sa odloženim dejstvom, kako bi se izbjeglo rano otkrivanje.
Jedna od ključnih tehnika koju su napadači koristili bilo je ubacivanje malicioznog koda u datoteke koje su se obično izvršavale pri pokretanju ili instalaciji paketa. To je omogućilo napadačima da steknu trajan pristup sistemu žrtve i da špijuniraju njihove aktivnosti.
Detaljnije posmatrano, upozorenje o ovim malicioznim npm paketima objavljeno je od strane sigurnosne kompanije ‘Rečena Kompanija’ na njihovoj zvaničnoj web stranici i putem platforme X (ranije poznate kao Twitter). Upozorenje je naglasilo značajan rast ciljanih napada na razvojnu zajednicu, posebno onih koji se odnose na nabavku otvorenog koda.
Ovaj specifični incident se povezuje sa širim trendom u cyber kriminalu gdje napadači ciljaju na lance snabdijevanja softvera. Ti napadi iskorištavaju povjerenje koje programeri imaju u komponente otvorenog koda, koje su temelj modernog razvoja softvera. Metodologija napada je u suštini stvaranje paketa koji izgledaju poput korisnih biblioteka, ali u sebi sadrže skriveni maliciozni kod. Prevaranti mame žrtve tako što obećavaju funkcionalnost ili ažuriranje koje im je potrebno, a zauzvrat dobijaju pristup njihovim sistemima.
U jednom od primjera, otkriveni su paketi koji su nosili imena slična popularnim alatima za razvoj, te su ciljali na programere koji bi mogli tražiti nove alate ili biblioteke za svoje projekte. Na primjer, neki paketi su bili dizajnirani da izgledaju kao ažuriranja ili dodatne funkcije za postojeće razvojne alate, čime su postajali primamljivi za programere koji žele poboljšati svoju produktivnost. Kada bi programer pokušao da instalira ili ugradi takav paket, maliciozni kod bi se pokrenuo. Ovaj kod je često bio osmišljen tako da ostane neprimijećen, komunicirajući sa komandnim i kontrolnim serverima napadača kako bi preuzeo daljnje komponente malicioznog softvera ili ukrao osjetljive podatke.
Ova metoda je ujedno i sofisticirana i efikasna jer iskorištava inherentnu ranjivost u ekosistemima otvorenog koda, gdje se oslanjanje na zajednički kod zasniva na povjerenju. Kompanija ‘Rečena Kompanija’ je u svom izvještaju detaljno opisala mehanizme pomoću kojih su ovi paketi bili u stanju da izbjegnu detekciju, uključujući obavještavanje o tome da su mnogi od njih imali vrlo malo ili nikakvu aktivnost prije nego što su počeli da vrše svoje maliciozne radnje. Ovo ukazuje na pažljivo planiranje i izvršenje od strane napadača.