Hackers στοχεύουν developers με 35 κακόβουλα npm packages
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Hackers στοχεύουν developers με 35 κακόβουλα npm packages
https://www.secnews.gr/652025/hackers-stoxeuoun-developers-me-35-kakoboula-npm-packages/
Jun 25th 2025, 13:04
by Digital Fortress
Ερευνητές κυβερνοασφάλειας αποκάλυψαν νέα κακόβουλα npm packages, τα οποία συνδέονται με την εξελισσόμενη hacking επιχείρηση Contagious Interview, που αποδίδεται σε κρατικούς φορείς της Βόρειας Κορέας.
Σύμφωνα με έκθεση της Socket, εντοπίστηκαν 35 μολυσμένα πακέτα που μεταφορτώθηκαν μέσω 24 διαφορετικών λογαριασμών npm, συγκεντρώνοντας πάνω από 4.000 λήψεις. Η πλήρης λίστα των βιβλιοθηκών JavaScript είναι η ακόλουθη:
• react-plaid-sdk
• sumsub-node-websdk
• vite-plugin-next-refresh
• vite-plugin-purify
• nextjs-insight
• vite-plugin-svgn
• node-loggers
• react-logs
• reactbootstraps
• framer-motion-ext
• serverlog-dispatch
• mongo-errorlog
• next-log-patcher
• vite-plugin-tools
• pixel-percent
• test-topdev-logger-v1
• test-topdev-logger-v3
• server-log-engine
• logbin-nodejs
• vite-loader-svg
• struct-logger
• flexible-loggers
• beautiful-plugins
• chalk-config
• jsonpacks
• jsonspecific
• jsonsecs
• util-buffers
• blur-plugins
• proc-watch
• node-orm-mongoose
• prior-config
• use-videos
• lucide-node, and
• router-parse
Δείτε επίσης: 60 κακόβουλα πακέτα npm συλλέγουν ευαίσθητα δεδομένα δικτύου
Αν και η πλειονότητα έχει ήδη αποσυρθεί, ορισμένα πακέτα παραμένουν ενεργά στην πλατφόρμα.
Τα κακόβουλα npm packages περιέχουν έναν hex-encoded loader με την ονομασία HexEval. Ο HexEval συλλέγει πληροφορίες από τον τοπικό κεντρικό υπολογιστή και μεταφέρει ένα δεύτερο, πιο επικίνδυνο payload — το BeaverTail, ένα γνωστό JavaScript stealer.
Από εκεί και πέρα, το σενάριο περιπλέκεται. To BeaverTail κατεβάζει και εκτελεί το InvisibleFerret, ένα Python-based backdoor, το οποίο παρέχει απομακρυσμένο έλεγχο και πρόσβαση σε ευαίσθητα δεδομένα των μολυσμένων μηχανών.
Αυτό το nesting-doll structure, όπως το χαρακτήρισε ο ερευνητής Kirill Boychenko, καθιστά την εκστρατεία εξαιρετικά δύσκολη στον εντοπισμό (από παραδοσιακά εργαλεία ανάλυσης). Σε μια άλλη περίπτωση, παρατηρήθηκε πακέτο που ενσωμάτωνε keylogger, ικανό να καταγράφει κάθε πληκτρολόγηση του χρήστη, αναδεικνύοντας τη σαφή πρόθεση των επιτιθέμενων να προσαρμόζουν τα εργαλεία τους ανάλογα με τον στόχο.
Contagious Interview: Η Βόρεια Κορέα στοχεύει προγραμματιστές
Η Contagious Interview, μια συνεχιζόμενη hacking εκστρατεία που εντοπίστηκε πρώτη φορά από τη Unit 42 της Palo Alto Networks στα τέλη του 2023, επανέρχεται στο προσκήνιο με αυτά τα νέα κακόβουλα npm packages. Η επιχείρηση αποδίδεται σε κρατικά υποστηριζόμενους φορείς της Βόρειας Κορέας, με σκοπό την παράνομη πρόσβαση σε περιβάλλοντα ανάπτυξης λογισμικού για την κλοπή κρυπτονομισμάτων και ευαίσθητων δεδομένων.
Δείτε επίσης: Κακόβουλο πακέτο NPM χρησιμοποιεί στεγανογραφία Unicode
Η δραστηριότητα έχει καταγραφεί με πολλά ονόματα – ανάμεσά τους τα CL-STA-0240, DeceptiveDevelopment, UNC5342, Famous Chollima και Void Dokkaebi – υποδεικνύοντας το εύρος και τη διασπορά της επιχείρησης.
Σύμφωνα με τις νεότερες αναφορές από την Socket, οι επιτιθέμενοι υιοθετούν διάφορες μεθόδους για να ξεγελάσουν τους υποψήφιους στόχους ώστε να εγκαταστήσουν κακόβουλο λογισμικό με το πρόσχημα μιας συνέντευξης ή μιας συνάντησης μέσω Zoom.
Η πιο πρόσφατη τακτική εστιάζει στη χρήση της πλατφόρμας npm, όπου οι επιτιθέμενοι μεταμφιέζονται σε recruiters στο LinkedIn και στοχεύουν προγραμματιστές ή άτομα που αναζητούν εργασία. Μέσω παραπλανητικών μηνυμάτων, τους ενθαρρύνουν να συμμετάσχουν σε δήθεν τεχνικές δοκιμασίες, παρέχοντας σύνδεσμο προς αποθετήρια στο GitHub ή Bitbucket τα οποία περιέχουν npm packages με κακόβουλο κώδικα.
«Στοχεύουν μηχανικούς λογισμικού που αναζητούν ενεργά εργασία, εκμεταλλευόμενοι την εμπιστοσύνη που συνήθως έχουν οι αναζητούντες εργασία στους recruiters», δήλωσε ο Boychenko. «Ψεύτικες περσόνες ξεκινούν την επαφή, συχνά με προμελετημένα μηνύματα προσέγγισης και πειστικές περιγραφές θέσεων εργασίας».
Τα θύματα καλούνται να κλωνοποιήσουν τα κακόβουλα έργα και να τα εκτελέσουν εκτός containerized περιβάλλοντος, κατά τη διάρκεια της υποτιθέμενης διαδικασίας συνέντευξης. Όπως σημειώνει η Socket, η εκστρατεία αποτελεί ένα σύνθετο μείγμα τεχνικών OSINT, malware staging και κοινωνικής μηχανικής, που επιτρέπει στους επιτιθέμενους να διεισδύουν σε συστήματα ανάπτυξης λογισμικού μέσω φαινομενικά νόμιμων εργαλείων ανοιχτού κώδικα.
Δείτε επίσης: Επίθεση της αλυσίδας εφοδιασμού χτυπά το πακέτο npm rand-user-agent
Μία από τις πιο ανησυχητικές πτυχές αυτής της τάσης είναι η στόχευση ευάλωτων ατόμων, όπως εκείνων που είναι άνεργοι ή αναζητούν ευκαιρίες εργασίας εξ αποστάσεως. Αυτά τα άτομα μπορεί να είναι πιο πιθανό να υποκύψουν σε απάτες που υπόσχονται εύκολα χρήματα ή ασφάλεια εργασίας.
Επιπλέον, καθώς η τεχνολογία συνεχίζει να προοδεύει και περισσότεροι άνθρωποι βασίζονται στο Διαδίκτυο για εργασία, εκπαίδευση και κοινωνική αλληλεπίδραση, η πιθανότητα να προκληθεί εκτεταμένη βλάβη, μέσω απατών, αυξάνεται συνεχώς. Από την κλοπή ταυτότητας έως την οικονομική απάτη, οι εγκληματίες του κυβερνοχώρου βρίσκουν συνεχώς νέους τρόπους να εκμεταλλεύονται την τεχνολογία για δικό τους κέρδος.
Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό τόσο τα άτομα όσο και οι οργανισμοί να παραμένουν ενημερωμένοι σχετικά με τα μέτρα και τις βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο. Αυτό περιλαμβάνει τη χρήση ισχυρών κωδικών πρόσβασης, την τακτική ενημέρωση λογισμικού και συστημάτων και την προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και ιστότοπους.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Hackers στοχεύουν developers με 35 κακόβουλα npm packages
https://www.secnews.gr/652025/hackers-stoxeuoun-developers-me-35-kakoboula-npm-packages/
Jun 25th 2025, 13:04
by Digital Fortress
Ερευνητές κυβερνοασφάλειας αποκάλυψαν νέα κακόβουλα npm packages, τα οποία συνδέονται με την εξελισσόμενη hacking επιχείρηση Contagious Interview, που αποδίδεται σε κρατικούς φορείς της Βόρειας Κορέας.
Σύμφωνα με έκθεση της Socket, εντοπίστηκαν 35 μολυσμένα πακέτα που μεταφορτώθηκαν μέσω 24 διαφορετικών λογαριασμών npm, συγκεντρώνοντας πάνω από 4.000 λήψεις. Η πλήρης λίστα των βιβλιοθηκών JavaScript είναι η ακόλουθη:
• react-plaid-sdk
• sumsub-node-websdk
• vite-plugin-next-refresh
• vite-plugin-purify
• nextjs-insight
• vite-plugin-svgn
• node-loggers
• react-logs
• reactbootstraps
• framer-motion-ext
• serverlog-dispatch
• mongo-errorlog
• next-log-patcher
• vite-plugin-tools
• pixel-percent
• test-topdev-logger-v1
• test-topdev-logger-v3
• server-log-engine
• logbin-nodejs
• vite-loader-svg
• struct-logger
• flexible-loggers
• beautiful-plugins
• chalk-config
• jsonpacks
• jsonspecific
• jsonsecs
• util-buffers
• blur-plugins
• proc-watch
• node-orm-mongoose
• prior-config
• use-videos
• lucide-node, and
• router-parse
Δείτε επίσης: 60 κακόβουλα πακέτα npm συλλέγουν ευαίσθητα δεδομένα δικτύου
Αν και η πλειονότητα έχει ήδη αποσυρθεί, ορισμένα πακέτα παραμένουν ενεργά στην πλατφόρμα.
Τα κακόβουλα npm packages περιέχουν έναν hex-encoded loader με την ονομασία HexEval. Ο HexEval συλλέγει πληροφορίες από τον τοπικό κεντρικό υπολογιστή και μεταφέρει ένα δεύτερο, πιο επικίνδυνο payload — το BeaverTail, ένα γνωστό JavaScript stealer.
Από εκεί και πέρα, το σενάριο περιπλέκεται. To BeaverTail κατεβάζει και εκτελεί το InvisibleFerret, ένα Python-based backdoor, το οποίο παρέχει απομακρυσμένο έλεγχο και πρόσβαση σε ευαίσθητα δεδομένα των μολυσμένων μηχανών.
Αυτό το nesting-doll structure, όπως το χαρακτήρισε ο ερευνητής Kirill Boychenko, καθιστά την εκστρατεία εξαιρετικά δύσκολη στον εντοπισμό (από παραδοσιακά εργαλεία ανάλυσης). Σε μια άλλη περίπτωση, παρατηρήθηκε πακέτο που ενσωμάτωνε keylogger, ικανό να καταγράφει κάθε πληκτρολόγηση του χρήστη, αναδεικνύοντας τη σαφή πρόθεση των επιτιθέμενων να προσαρμόζουν τα εργαλεία τους ανάλογα με τον στόχο.
Contagious Interview: Η Βόρεια Κορέα στοχεύει προγραμματιστές
Η Contagious Interview, μια συνεχιζόμενη hacking εκστρατεία που εντοπίστηκε πρώτη φορά από τη Unit 42 της Palo Alto Networks στα τέλη του 2023, επανέρχεται στο προσκήνιο με αυτά τα νέα κακόβουλα npm packages. Η επιχείρηση αποδίδεται σε κρατικά υποστηριζόμενους φορείς της Βόρειας Κορέας, με σκοπό την παράνομη πρόσβαση σε περιβάλλοντα ανάπτυξης λογισμικού για την κλοπή κρυπτονομισμάτων και ευαίσθητων δεδομένων.
Δείτε επίσης: Κακόβουλο πακέτο NPM χρησιμοποιεί στεγανογραφία Unicode
Η δραστηριότητα έχει καταγραφεί με πολλά ονόματα – ανάμεσά τους τα CL-STA-0240, DeceptiveDevelopment, UNC5342, Famous Chollima και Void Dokkaebi – υποδεικνύοντας το εύρος και τη διασπορά της επιχείρησης.
Σύμφωνα με τις νεότερες αναφορές από την Socket, οι επιτιθέμενοι υιοθετούν διάφορες μεθόδους για να ξεγελάσουν τους υποψήφιους στόχους ώστε να εγκαταστήσουν κακόβουλο λογισμικό με το πρόσχημα μιας συνέντευξης ή μιας συνάντησης μέσω Zoom.
Η πιο πρόσφατη τακτική εστιάζει στη χρήση της πλατφόρμας npm, όπου οι επιτιθέμενοι μεταμφιέζονται σε recruiters στο LinkedIn και στοχεύουν προγραμματιστές ή άτομα που αναζητούν εργασία. Μέσω παραπλανητικών μηνυμάτων, τους ενθαρρύνουν να συμμετάσχουν σε δήθεν τεχνικές δοκιμασίες, παρέχοντας σύνδεσμο προς αποθετήρια στο GitHub ή Bitbucket τα οποία περιέχουν npm packages με κακόβουλο κώδικα.
«Στοχεύουν μηχανικούς λογισμικού που αναζητούν ενεργά εργασία, εκμεταλλευόμενοι την εμπιστοσύνη που συνήθως έχουν οι αναζητούντες εργασία στους recruiters», δήλωσε ο Boychenko. «Ψεύτικες περσόνες ξεκινούν την επαφή, συχνά με προμελετημένα μηνύματα προσέγγισης και πειστικές περιγραφές θέσεων εργασίας».
Τα θύματα καλούνται να κλωνοποιήσουν τα κακόβουλα έργα και να τα εκτελέσουν εκτός containerized περιβάλλοντος, κατά τη διάρκεια της υποτιθέμενης διαδικασίας συνέντευξης. Όπως σημειώνει η Socket, η εκστρατεία αποτελεί ένα σύνθετο μείγμα τεχνικών OSINT, malware staging και κοινωνικής μηχανικής, που επιτρέπει στους επιτιθέμενους να διεισδύουν σε συστήματα ανάπτυξης λογισμικού μέσω φαινομενικά νόμιμων εργαλείων ανοιχτού κώδικα.
Δείτε επίσης: Επίθεση της αλυσίδας εφοδιασμού χτυπά το πακέτο npm rand-user-agent
Μία από τις πιο ανησυχητικές πτυχές αυτής της τάσης είναι η στόχευση ευάλωτων ατόμων, όπως εκείνων που είναι άνεργοι ή αναζητούν ευκαιρίες εργασίας εξ αποστάσεως. Αυτά τα άτομα μπορεί να είναι πιο πιθανό να υποκύψουν σε απάτες που υπόσχονται εύκολα χρήματα ή ασφάλεια εργασίας.
Επιπλέον, καθώς η τεχνολογία συνεχίζει να προοδεύει και περισσότεροι άνθρωποι βασίζονται στο Διαδίκτυο για εργασία, εκπαίδευση και κοινωνική αλληλεπίδραση, η πιθανότητα να προκληθεί εκτεταμένη βλάβη, μέσω απατών, αυξάνεται συνεχώς. Από την κλοπή ταυτότητας έως την οικονομική απάτη, οι εγκληματίες του κυβερνοχώρου βρίσκουν συνεχώς νέους τρόπους να εκμεταλλεύονται την τεχνολογία για δικό τους κέρδος.
Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό τόσο τα άτομα όσο και οι οργανισμοί να παραμένουν ενημερωμένοι σχετικά με τα μέτρα και τις βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο. Αυτό περιλαμβάνει τη χρήση ισχυρών κωδικών πρόσβασης, την τακτική ενημέρωση λογισμικού και συστημάτων και την προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και ιστότοπους.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz