北韓駭客針對開發人員而來的惡意套件攻擊行動不斷傳出,但如今駭客採取更為隱密的手法,使得開發人員更容易上當。
資安業者Socket指出,他們看到北韓駭客Lazarus新一波的Contagious Interview攻擊行動,駭客意圖透過11個惡意NPM套件,散布具備遠端存取木馬(RAT)功能的惡意程式BeaverTail,這些套件偽裝成陣列處理、事件記錄、除錯、事件處理,以及API處理的工具,意圖針對開發人員下手,竊取敏感的帳密資料及金融資產。
Socket研究人員向NPM通報此事,惡意套件全數遭到下架,在此之前這些套件總共被下載超過5,600次。值得留意的是,這些駭客的攻擊步調並未趨緩,他們持續建置新的NPM帳號,並在NPM、GitHub、Bitbucket部署惡意程式碼。
在這波攻擊行動裡,駭客的惡意程式出現顯著的變化,為了迴避自動偵測的資安系統與人工程式碼審核,駭客採用了十六進位的字串編碼進行處理。
再者,過往這些駭客還會濫用GitHub,但這次研究人員發現,部分惡意NPM帳號也與另一個程式碼儲存庫Bitbucket連結,這種做法很有可能讓開發人員產生錯覺,以為這些NPM套件受到開發者積極維護而降低戒心。
