Βορειοκορεάτες hackers διανέμουν 67 κακόβουλα npm packages
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Βορειοκορεάτες hackers διανέμουν 67 κακόβουλα npm packages
https://www.secnews.gr/653875/boreikoreates-hackers-dianemoun-67-kakoboula-npm-packages/
Jul 15th 2025, 12:23
by Digital Fortress
Βορειοκορεάτες hackers φαίνεται να κλιμακώνουν τις κυβερνοεπιχειρήσεις τους, στοχεύοντας εκ νέου το οικοσύστημα ανοιχτού κώδικα, με τη δημοσιοποίηση 67 νέων κακόβουλων packages στο επίσημο npm registry.
Τα πακέτα αυτά, τα οποία έχουν ήδη πάνω από 17.000 λήψεις, ενσωματώνουν έναν εξελιγμένο malware loader, με την κωδική ονομασία XORIndex. Πρόκειται για συνέχεια της καμπάνιας Contagious Interview, μιας συνεχιζόμενης επιχείρησης που αποδίδεται σε κρατικά υποστηριζόμενους hackers της Πιονγιάνγκ. Τον περασμένο μήνα εντοπίστηκαν άλλα 35 κακόβουλα npm packages, που περιείχαν το loader HexEval.
Στόχος: Οι developers του open source οικοσυστήματος
Η εν λόγω καμπάνια επιχειρεί να παγιδεύσει προγραμματιστές προσελκύοντάς τους με υποτιθέμενες δοκιμαστικές αναθέσεις εργασίας. Η βασική μέθοδος περιλαμβάνει τη δημοσίευση φαινομενικά αθώων πακέτων npm, τα οποία όμως λειτουργούν ως δούρειοι ίπποι: μόλις εγκατασταθούν, κατεβάζουν και εκτελούν info-stealers και backdoors.
Δείτε επίσης: 60 κακόβουλα πακέτα npm συλλέγουν ευαίσθητα δεδομένα δικτύου
Σε αντίθεση με προηγούμενες απόπειρες που περιελάμβαναν την υποβολή ψεύτικων αιτήσεων για θέσεις εργασίας σε εταιρείες πληροφορικής, το νέο μοντέλο στοχεύει εργαζόμενους developers, με τους hackers να επιδιώκουν πρόσβαση σε εταιρικές αλυσίδες ανάπτυξης λογισμικού μέσω npm packages.
Τεχνική ανάλυση: Από τον HexEval στον XORIndex
Τον περασμένο μήνα, εντοπίστηκα 35 κακόβουλα πακέτα που ενσωμάτωναν το malware loader HexEval. Η νέα φάση περιλαμβάνει τον XORIndex Loader.
Τι κάνουν τα loaders:
• Δημιουργούν προφίλ του μηχανήματος-στόχου
• Επικοινωνούν με C2 (Command and Control) servers για να λάβουν πληροφορίες, όπως την εξωτερική IP διεύθυνση
• Εγκαθιστούν το JavaScript loader και stealer BeaverTail, με στόχο δεδομένα από web browsers και crypto wallets
• Εκκινούν Python backdoors όπως το InvisibleFerret, για παρατεταμένη πρόσβαση και παρακολούθηση
Παρότι οι πρώτες εκδόσεις των loader ήταν πιο «πρωτόγονες», οι νέες παραλλαγές δείχνουν σαφή πρόοδο σε stealth τεχνικές και system fingerprinting.
Στατιστικά που σοκάρουν
Σύμφωνα με τον ερευνητή ασφαλείας Kirill Boychenko από τη Socket, το XORIndex Loader συγκέντρωσε πάνω από 9.000 λήψεις μόνο το δίμηνο Ιουνίου–Ιουλίου 2025, ενώ το HexEval συνεχίζει να διαδίδεται με 8.000+ λήψεις σε νεότερα πακέτα.
Αυτό δείχνει ότι οι δράστες προσαρμόζονται γρήγορα, ανεβάζοντας παραλλαγές των ίδιων εργαλείων με διαφορετικά npm accounts, για να παρακάμπτουν τους αμυντικούς μηχανισμούς.
Δείτε επίσης: Κακόβουλο πακέτο NPM χρησιμοποιεί στεγανογραφία Unicode
Η καμπάνια μοιάζει με ένα παιχνίδι "whack-a-mole" — μόλις οι υπερασπιστές δικτύων αποσύρουν ένα κακόβουλο πακέτο, εμφανίζονται δύο νέα.
Γιατί έχει σημασία
Η υπόθεση αναδεικνύει τους κινδύνους στην εφοδιαστική αλυσίδα λογισμικού (software supply chain) και τη δυνητική ζημιά που μπορούν να προκαλέσουν στοχευμένες κυβερνοεκστρατείες σε open-source κοινότητες.
Βορειοκορεάτες hackers διανέμουν 67 κακόβουλα npm packages
Τι πρέπει να κάνουν οι οργανισμοί
• Συστηματικός έλεγχος third-party dependencies και χρήση εργαλείων ανάλυσης για αξιολόγηση κινδύνου.
• Χρήση υπογραφών και verified publishers στο npm, όπου είναι διαθέσιμο.
• Καραντίνα νέων packages σε test environments πριν ενσωματωθούν στο production.
• Εκπαίδευση ομάδων ανάπτυξης στην αναγνώριση ψεύτικων projects.
• Zero Trust Architecture στις εσωτερικές υποδομές, περιορίζοντας τα δικαιώματα εκτέλεσης άγνωστου κώδικα.
Δείτε επίσης: Επίθεση της αλυσίδας εφοδιασμού χτυπά το πακέτο npm rand-user-agent
Η καμπάνια Contagious Interview δεν είναι απλώς άλλη μια κακόβουλη επιχείρηση. Είναι ένα παράδειγμα γεωπολιτικά υποστηριζόμενης ψηφιακής κατασκοπείας, με τεχνολογική ωριμότητα και στρατηγικό σχεδιασμό, που εκμεταλλεύεται τα αδύναμα σημεία ενός από τα πιο ζωτικά οικοσυστήματα του ψηφιακού μας κόσμου — τον ανοιχτό κώδικα.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Βορειοκορεάτες hackers διανέμουν 67 κακόβουλα npm packages
https://www.secnews.gr/653875/boreikoreates-hackers-dianemoun-67-kakoboula-npm-packages/
Jul 15th 2025, 12:23
by Digital Fortress
Βορειοκορεάτες hackers φαίνεται να κλιμακώνουν τις κυβερνοεπιχειρήσεις τους, στοχεύοντας εκ νέου το οικοσύστημα ανοιχτού κώδικα, με τη δημοσιοποίηση 67 νέων κακόβουλων packages στο επίσημο npm registry.
Τα πακέτα αυτά, τα οποία έχουν ήδη πάνω από 17.000 λήψεις, ενσωματώνουν έναν εξελιγμένο malware loader, με την κωδική ονομασία XORIndex. Πρόκειται για συνέχεια της καμπάνιας Contagious Interview, μιας συνεχιζόμενης επιχείρησης που αποδίδεται σε κρατικά υποστηριζόμενους hackers της Πιονγιάνγκ. Τον περασμένο μήνα εντοπίστηκαν άλλα 35 κακόβουλα npm packages, που περιείχαν το loader HexEval.
Στόχος: Οι developers του open source οικοσυστήματος
Η εν λόγω καμπάνια επιχειρεί να παγιδεύσει προγραμματιστές προσελκύοντάς τους με υποτιθέμενες δοκιμαστικές αναθέσεις εργασίας. Η βασική μέθοδος περιλαμβάνει τη δημοσίευση φαινομενικά αθώων πακέτων npm, τα οποία όμως λειτουργούν ως δούρειοι ίπποι: μόλις εγκατασταθούν, κατεβάζουν και εκτελούν info-stealers και backdoors.
Δείτε επίσης: 60 κακόβουλα πακέτα npm συλλέγουν ευαίσθητα δεδομένα δικτύου
Σε αντίθεση με προηγούμενες απόπειρες που περιελάμβαναν την υποβολή ψεύτικων αιτήσεων για θέσεις εργασίας σε εταιρείες πληροφορικής, το νέο μοντέλο στοχεύει εργαζόμενους developers, με τους hackers να επιδιώκουν πρόσβαση σε εταιρικές αλυσίδες ανάπτυξης λογισμικού μέσω npm packages.
Τεχνική ανάλυση: Από τον HexEval στον XORIndex
Τον περασμένο μήνα, εντοπίστηκα 35 κακόβουλα πακέτα που ενσωμάτωναν το malware loader HexEval. Η νέα φάση περιλαμβάνει τον XORIndex Loader.
Τι κάνουν τα loaders:
• Δημιουργούν προφίλ του μηχανήματος-στόχου
• Επικοινωνούν με C2 (Command and Control) servers για να λάβουν πληροφορίες, όπως την εξωτερική IP διεύθυνση
• Εγκαθιστούν το JavaScript loader και stealer BeaverTail, με στόχο δεδομένα από web browsers και crypto wallets
• Εκκινούν Python backdoors όπως το InvisibleFerret, για παρατεταμένη πρόσβαση και παρακολούθηση
Παρότι οι πρώτες εκδόσεις των loader ήταν πιο «πρωτόγονες», οι νέες παραλλαγές δείχνουν σαφή πρόοδο σε stealth τεχνικές και system fingerprinting.
Στατιστικά που σοκάρουν
Σύμφωνα με τον ερευνητή ασφαλείας Kirill Boychenko από τη Socket, το XORIndex Loader συγκέντρωσε πάνω από 9.000 λήψεις μόνο το δίμηνο Ιουνίου–Ιουλίου 2025, ενώ το HexEval συνεχίζει να διαδίδεται με 8.000+ λήψεις σε νεότερα πακέτα.
Αυτό δείχνει ότι οι δράστες προσαρμόζονται γρήγορα, ανεβάζοντας παραλλαγές των ίδιων εργαλείων με διαφορετικά npm accounts, για να παρακάμπτουν τους αμυντικούς μηχανισμούς.
Δείτε επίσης: Κακόβουλο πακέτο NPM χρησιμοποιεί στεγανογραφία Unicode
Η καμπάνια μοιάζει με ένα παιχνίδι "whack-a-mole" — μόλις οι υπερασπιστές δικτύων αποσύρουν ένα κακόβουλο πακέτο, εμφανίζονται δύο νέα.
Γιατί έχει σημασία
Η υπόθεση αναδεικνύει τους κινδύνους στην εφοδιαστική αλυσίδα λογισμικού (software supply chain) και τη δυνητική ζημιά που μπορούν να προκαλέσουν στοχευμένες κυβερνοεκστρατείες σε open-source κοινότητες.
Βορειοκορεάτες hackers διανέμουν 67 κακόβουλα npm packages
Τι πρέπει να κάνουν οι οργανισμοί
• Συστηματικός έλεγχος third-party dependencies και χρήση εργαλείων ανάλυσης για αξιολόγηση κινδύνου.
• Χρήση υπογραφών και verified publishers στο npm, όπου είναι διαθέσιμο.
• Καραντίνα νέων packages σε test environments πριν ενσωματωθούν στο production.
• Εκπαίδευση ομάδων ανάπτυξης στην αναγνώριση ψεύτικων projects.
• Zero Trust Architecture στις εσωτερικές υποδομές, περιορίζοντας τα δικαιώματα εκτέλεσης άγνωστου κώδικα.
Δείτε επίσης: Επίθεση της αλυσίδας εφοδιασμού χτυπά το πακέτο npm rand-user-agent
Η καμπάνια Contagious Interview δεν είναι απλώς άλλη μια κακόβουλη επιχείρηση. Είναι ένα παράδειγμα γεωπολιτικά υποστηριζόμενης ψηφιακής κατασκοπείας, με τεχνολογική ωριμότητα και στρατηγικό σχεδιασμό, που εκμεταλλεύεται τα αδύναμα σημεία ενός από τα πιο ζωτικά οικοσυστήματα του ψηφιακού μας κόσμου — τον ανοιχτό κώδικα.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz