Recentemente, i ricercatori di cybersecurity hanno scoperto una variante aggiornata di un malware noto, sviluppato da hacker affiliati alla Repubblica Democratica Popolare di Corea (DPRK), che ora prende di mira gli utenti macOS. Questo malware, chiamato BeaverTail, è stato distribuito tramite un file immagine disco macOS (DMG) denominato "MiroTalk.dmg". Questo file imita il legittimo servizio di videochiamata MiroTalk, ma in realtà serve come veicolo per consegnare la versione nativa del malware.

BeaverTail è un malware stealer scritto in JavaScript, inizialmente documentato da Palo Alto Networks Unit 42 a novembre 2023, nel contesto di una campagna di cyber spionaggio chiamata Contagious Interview. Tale campagna mirava a infettare sviluppatori software attraverso un processo di falso colloquio di lavoro. Securonix ha monitorato la stessa attività sotto il nome DEV#POPPER. Oltre a rubare informazioni sensibili dai browser web e dai portafogli di criptovalute, il malware è in grado di consegnare ulteriori payload come InvisibleFerret, un backdoor Python che scarica AnyDesk per l'accesso remoto persistente.

Sebbene BeaverTail sia stato precedentemente distribuito tramite pacchetti npm falsi ospitati su GitHub e nel registro dei pacchetti npm, le ultime scoperte indicano un cambiamento nel vettore di distribuzione. Gli hacker della DPRK hanno probabilmente avvicinato le loro potenziali vittime chiedendo di partecipare a un incontro di assunzione scaricando ed eseguendo la versione infetta di MiroTalk ospitata su mirotalk[.]net. L'analisi del file DMG non firmato rivela che facilita il furto di dati da portafogli di criptovalute, iCloud Keychain e browser web come Google Chrome, Brave e Opera. Inoltre, è progettato per scaricare ed eseguire ulteriori script Python da un server remoto.

Questi attacchi non sono limitati ai soli utenti macOS. I ricercatori hanno identificato anche una versione Windows dell'installatore di MiroTalk ("MiroTalk.msi"), indicando che la campagna prende di mira sia gli utenti macOS che Windows. Inoltre, è stato scoperto un nuovo pacchetto npm malevolo chiamato call-blockflow, che è quasi identico alla libreria legittima call-bind ma incorpora funzionalità complesse per scaricare un file binario remoto, cercando di rimanere sotto il radar.

Il pacchetto, sospettato di essere opera del gruppo Lazarus legato alla Corea del Nord, è stato rimosso circa un'ora e mezza dopo essere stato caricato su npm, dopo aver attirato 18 download. Questa attività, comprendente oltre tre dozzine di pacchetti malevoli, è in corso a ondate dal settembre 2023.

Parallelamente, JPCERT/CC ha emesso un avviso su attacchi informatici orchestrati dall'attore nordcoreano Kimsuky, che prendono di mira organizzazioni giapponesi. Il processo di infezione inizia con messaggi di phishing che impersonano organizzazioni di sicurezza e diplomatiche, contenenti un eseguibile malevolo che, una volta aperto, porta al download di uno script Visual Basic (VBS). Questo script recupera uno script PowerShell per raccogliere informazioni sugli account utente, sul sistema e sulla rete, nonché per enumerare file e processi. Le informazioni raccolte vengono poi esfiltrate a un server di comando e controllo (C2), che risponde con un secondo file VBS per recuperare e eseguire un keylogger basato su PowerShell chiamato InfoKey. Nonostante ci siano stati pochi rapporti di attività di attacco da parte di Kimsuky contro organizzazioni in Giappone, è possibile che il paese sia attivamente preso di mira.