Il malware BeaverTail è riemerso nuovamente, nascondendosi all'interno di pacchetti npm malevoli che prendono di mira gli sviluppatori. Questo malware, un downloader JavaScript e un ladro di informazioni, è collegato a una campagna nordcoreana denominata Contagious Interview. Il team di ricerca sulla sicurezza di Datadog sta monitorando questa attività sotto il nome di Tenacious Pungsan, noto anche come CL-STA-0240 e Famous Chollima.

Pacchetti Malevoli Identificati

Recentemente sono stati individuati tre pacchetti malevoli pubblicati sul registro npm nel settembre 2024: passports-js, bcrypts-js e blockscan-api. Questi pacchetti, non più disponibili per il download, sono copie backdoor rispettivamente di passport, bcryptjs ed etherscan-api. La campagna Contagious Interview, emersa per la prima volta nel novembre 2023, coinvolge il download di pacchetti malevoli o di applicazioni per videoconferenze da parte di sviluppatori ingannati durante test di codifica.

Precedenti Attacchi

Non è la prima volta che gli attori delle minacce utilizzano pacchetti npm per distribuire BeaverTail. Già nell'agosto 2024, l'azienda di sicurezza della catena di fornitura software Phylum aveva rivelato un altro gruppo di pacchetti npm che facilitavano il dispiegamento di BeaverTail e di una backdoor Python chiamata InvisibleFerret. I pacchetti malevoli identificati allora includevano nomi come temp-etherscan-api, ethersscan-api, telegram-con, helmet-validate e qq-console, tutti con l'intento di imitare il pacchetto etherscan-api, segnalando che il settore delle criptovalute rimane un obiettivo costante.

Nuove Minacce

Un ulteriore allarme è stato lanciato il mese scorso da Stacklok, che ha identificato una nuova ondata di pacchetti contraffatti, come eslint-module-conf e eslint-scope-util, progettati per rubare criptovalute e stabilire un accesso persistente ai computer degli sviluppatori compromessi. Palo Alto Networks Unit 42 ha sottolineato che questa campagna si è rivelata un metodo efficace per distribuire malware, sfruttando la fiducia e l'urgenza dei candidati durante la ricerca di opportunità lavorative online.

Sfruttamento della Catena di Fornitura

Questi sviluppi evidenziano come gli attori delle minacce stiano sempre più sfruttando la catena di fornitura del software open source come vettore d'attacco per infettare i bersagli a valle. La copia e l'inserimento di backdoor nei pacchetti npm legittimi continua a essere una tattica comune in questo ecosistema. Le campagne, insieme a Contagious Interview, sottolineano come gli sviluppatori individuali restino obiettivi preziosi per questi attori delle minacce collegati alla Corea del Nord.