Nordkoreanske Hackere Utnytter Populært Programvarebibliotek
Et amerikansk cybersikkerhetsfirma rapporterer at nordkoreanske hackere har gjort et av verdens mest brukte programvarebiblioteker til et leveringssystem for skadelig programvare. I en rapport fra forrige uke opplyste forskere ved Socket, et selskap som spesialiserer seg på forsyningskjede-sikkerhet, at de hadde oppdaget mer enn 300 ondsinnede kodepakker lastet opp til npm-registeret, et sentralt lager som brukes av millioner av utviklere for å dele og installere JavaScript-programvare.
Disse pakkene—små biter av gjenbrukbar kode brukt i alt fra nettsteder til kryptoprogrammer—var designet for å se harmløse ut. Men når de ble lastet ned, installerte de skadelig programvare i stand til å stjele passord, nettleserdata og kryptovaluta-lommeboknøkler.
Kampanjen «Contagious Interview»
Socket opplyste at kampanjen, som de kaller «Contagious Interview,» er en del av en sofistikert operasjon drevet av nordkoreanske statssponserte hackere som utgir seg for å være teknologirekrutterere for å målrette utviklere som jobber innen blockchain, Web3 og relaterte industrier.
Betydningen av Angrepet
Hvorfor dette er viktig: npm er i hovedsak ryggraden i det moderne nettet. Å kompromittere det gir angripere muligheten til å slippe inn skadelig kode i utallige nedstrømsapplikasjoner. Sikkerhetseksperter har i årevis advart om at slike «programvareforsyningskjede»-angrep er blant de farligste i cyberspace, fordi de sprer seg usynlig gjennom legitime oppdateringer og avhengigheter.
Forskerne fra Socket sporet kampanjen gjennom en klynge av liknende pakkenavn—feilstavede versjoner av populære biblioteker som express, dotenv og hardhat—og gjennom kode-mønstre knyttet til tidligere identifiserte nordkoreanske malware-familier kjent som BeaverTail og InvisibleFerret.
«Angriperne benyttet krypterte «loader»-skript som dekrypterte og utførte skjulte payloads direkte i minnet, noe som etterlot få spor på disk.»
Selskapet rapporterte at omtrent 50 000 nedlastinger av de ondsinnede pakkene fant sted før mange ble fjernet, selv om noen fortsatt er tilgjengelige online. Hackerne brukte også falske LinkedIn-rekrutteringskontoer, en taktikk som er i tråd med tidligere DPRK-cyber-espionasje-kampanjer dokumentert av den amerikanske Cybersecurity and Infrastructure Security Agency (CISA) og tidligere rapportert i Decrypt.
Konsekvenser og Anbefalinger
De ultimate målene, mener etterforskerne, var maskiner som holdt tilgangslegitimasjon og digitale lommebøker. Selv om Socket sine funn stemmer overens med rapporter fra andre sikkerhetsgrupper og myndigheter som knytter Nord-Korea til kryptovaluta-tyverier som totalt beløper seg til milliarder av dollar, gjenstår uavhengig verifisering av hver detalj—som det nøyaktige antallet kompromitterte pakker.
Likevel er de tekniske bevisene og mønstrene som er beskrevet i samsvar med tidligere hendelser tilskrevet Pyongyang. Npm-eieren, GitHub, har sagt at de fjerner ondsinnede pakker når de oppdages og forbedrer kravene til konto-verifisering. Men mønsteret, sier forskerne, er som et spill med whack-a-mole: ta ned ett sett med ondsinnede pakker, og hundrevis av andre tar snart deres plass.
For utviklere og kryptostartups understreker episoden hvor sårbar programvareforsyningskjeden har blitt. Sikkerhetsforskere oppfordrer team til å behandle hver «npm install»-kommando som potensiell kodeutførelse, skanne avhengigheter før de slås sammen med prosjekter, og bruke automatiserte verktøy for å oppdage manipulerte pakker. Styrken til det åpne kildekode-økosystemet—dens åpenhet—blir dermed dens største svakhet når motstandere bestemmer seg for å gjøre det til et våpen.
