Nordkoreanska Hackare Använder Populärt Programvarubibliotek för Skadlig Kod
Ett amerikanskt cybersäkerhetsföretag rapporterar att nordkoreanska hackare har omvandlat ett av världens mest använda programvarubibliotek till ett verktyg för att sprida skadlig kod. I en rapport från förra veckan uppgav forskare vid Socket, ett företag specialiserat på leveranskedjesäkerhet, att de hade upptäckt över 300 skadliga kodpaket som laddats upp till npm-registret. Detta centrala arkiv används av miljontals utvecklare för att dela och installera JavaScript-programvara.
Paketen, som är små bitar av återanvändbar kod som används i allt från webbplatser till kryptotillämpningar, var utformade för att se ofarliga ut. Men när de laddades ner installerade de skadlig kod som kunde stjäla lösenord, webbläsardata och kryptovaluta-plånboksnycklar. Socket benämner kampanjen ”Contagious Interview” och beskriver den som en del av en sofistikerad operation som drivs av nordkoreanska statssponsrade hackare som utger sig för att vara tekniska rekryterare för att rikta in sig på utvecklare inom blockchain, Web3 och relaterade industrier.
Betydelsen av Attacken
Varför detta är viktigt: npm är i grunden ryggraden i det moderna nätet. Att kompromettera det ger angripare möjlighet att smyga in skadlig kod i otaliga nedströmsapplikationer. Säkerhetsexperter har varnat i flera år för att sådana ”programvaruleveranskedje”-attacker är bland de farligaste i cyberspace, eftersom de sprider sig osynligt genom legitima uppdateringar och beroenden.
Socket-forskarna spårade kampanjen genom en kluster av liknande paketnamn – felstavade versioner av populära bibliotek som express, dotenv och hardhat – samt genom kodmönster kopplade till tidigare identifierade nordkoreanska malwarefamiljer kända som BeaverTail och InvisibleFerret. Angriparna använde krypterade ”loader”-skript som dekrypterade och exekverade dolda payloads direkt i minnet, vilket lämnade få spår på disken.
”Cirka 50 000 nedladdningar av de skadliga paketen inträffade innan många av dem togs bort, även om vissa fortfarande finns tillgängliga online.”
Hackarna använde också falska LinkedIn-rekryterarkonton, en taktik som är konsekvent med tidigare DPRK-cyberespionagekampanjer dokumenterade av den amerikanska Cybersecurity and Infrastructure Security Agency (CISA) och tidigare rapporterade av Decrypt. Utredarna tror att de slutgiltiga målen var maskiner som innehöll åtkomstuppgifter och digitala plånböcker.
Framtida Åtgärder och Säkerhetsåtgärder
Även om Socket-fynden stämmer överens med rapporter från andra säkerhetsgrupper och myndigheter som kopplar Nordkorea till kryptovaluta-stölder som uppgår till miljarder dollar, kvarstår oberoende verifiering av varje detalj, såsom det exakta antalet komprometterade paket. Trots detta är de tekniska bevisen och mönstren som beskrivs konsekventa med tidigare incidenter som tillskrivs Pyongyang.
Npm:s ägare, GitHub, har meddelat att de tar bort skadliga paket när de upptäcks och förbättrar kraven för kontoverifiering. Men forskarna påpekar att mönstret liknar ett spel av whack-a-mole: när en uppsättning skadliga paket tas bort, dyker hundratals fler snart upp.
För utvecklare och kryptostartups understryker denna episod hur sårbar programvaruleveranskedjan har blivit. Säkerhetsforskare uppmanar team att behandla varje ”npm install”-kommando som potentiell kodexekvering, att skanna beroenden innan de slås samman i projekt och att använda automatiserade granskningverktyg för att fånga manipulerade paket. Styrkan i det öppna källkods-ekosystemet – dess öppenhet – förblir dess största svaghet när motståndare beslutar att beväpna det.
