Gli hacker nordcoreani noti come Moonstone Sleet hanno continuato a spingere pacchetti npm malevoli nel registro dei pacchetti JavaScript, con l'intento di infettare i sistemi Windows. Questo evidenzia la natura persistente delle loro campagne. I pacchetti in questione, harthat-api e harthat-hash, sono stati pubblicati il 7 luglio 2024, ma non hanno attratto alcun download e sono stati rapidamente rimossi. Il team di sicurezza di Datadog Security Labs sta monitorando questo attore di minaccia sotto il nome di Stressed Pungsan, che mostra sovrapposizioni con un nuovo cluster di attività malevole nordcoreane denominato Moonstone Sleet.

Ricercatori di Datadog

Secondo i ricercatori di Datadog, Sebastian Obregoso e Zack Allen, il nome dei pacchetti assomiglia a quello del pacchetto npm Hardhat (un'utility di sviluppo Ethereum), ma il loro contenuto non indica alcuna intenzione di typo-squatting. I pacchetti malevoli riutilizzano il codice di un noto repository GitHub chiamato node-config, conosciuto su npm come config, che conta oltre 6.000 stelle e 500 fork. Le catene di attacco orchestrate dal collettivo avversario sono note per diffondere falsi file ZIP tramite LinkedIn sotto un falso nome aziendale o siti di freelance, attirando potenziali bersagli a eseguire payload di fase successiva che invocano un pacchetto npm come parte di una presunta valutazione delle competenze tecniche.

Quando caricato, il pacchetto malevolo utilizzava curl per connettersi a un IP controllato dall'attore e scaricare ulteriori payload malevoli come SplitLoader. In un altro incidente, Moonstone Sleet ha distribuito un caricatore npm malevolo che ha portato al furto di credenziali da LSASS. Ulteriori scoperte di Checkmarx hanno rivelato che Moonstone Sleet ha tentato di diffondere i loro pacchetti attraverso il registro npm. I pacchetti recentemente scoperti sono progettati per eseguire uno script di pre-installazione specificato nel file package.json, che, a sua volta, verifica se sta girando su un sistema Windows ("Windows_NT"), dopodiché contatta un server esterno ("142.111.77[.]196") per scaricare un file DLL che viene caricato tramite il binario rundll32.exe.

Il DLL rogue, per parte sua, non esegue alcuna azione malevola, suggerendo un tentativo preliminare della loro infrastruttura di consegna del payload o che sia stato inavvertitamente spinto nel registro prima di incorporare codice malevolo. Questo sviluppo arriva mentre il Centro Nazionale di Sicurezza Cibernetica della Corea del Sud (NCSC) ha avvertito di attacchi informatici montati da gruppi di minaccia nordcoreani tracciati come Andariel e Kimsuky per distribuire famiglie di malware come Dora RAT e TrollAgent (alias Troll Stealer) come parte di campagne di intrusione mirate ai settori delle costruzioni e delle macchine nel paese. La sequenza di attacco Dora RAT è degna di nota per il fatto che gli hacker Andariel hanno sfruttato vulnerabilità nel meccanismo di aggiornamento software di un software VPN domestico per propagare il malware.