Tác nhân đe dọa liên quan đến Triều Tiên được gọi là Moonstone Sleet đã tiếp tục đẩy các gói npm độc hại vào sổ đăng ký gói JavaScript với mục đích lây nhiễm các hệ thống Windows, nhấn mạnh bản chất dai dẳng của các chiến dịch của họ.
Các gói được đề cập, harthat-api và harthat-hash, đã được công bố vào ngày 7 tháng 7 năm 2024, theo Datadog Security Labs. Cả hai thư viện đều không thu hút bất kỳ lượt tải xuống nào và đã bị rút lại ngay sau một khoảng thời gian ngắn.
Bộ phận bảo mật của công ty giám sát đám mây đang theo dõi tác nhân đe dọa dưới cái tên Stress Pungsan, có sự trùng lặp với một cụm hoạt động độc hại mới được phát hiện của Triều Tiên có tên là Moonstone Sleet.
Các chuỗi tấn công được dàn dựng bởi tập thể đối thủ được biết là phổ biến các tệp lưu trữ ZIP không có thật thông qua LinkedIn dưới tên công ty giả mạo hoặc các trang web tự do, lôi kéo các mục tiêu tiềm năng thực hiện các tải trọng giai đoạn tiếp theo gọi gói npm như một phần của đánh giá kỹ năng kỹ thuật được cho là.
"Khi được tải, gói độc hại đã sử dụng curl để kết nối với IP do tác nhân kiểm soát và thả thêm các tải trọng độc hại như SplitLoader", Microsoft lưu ý vào tháng 5/2024. "Trong một sự cố khác, Moonstone Sleet đã cung cấp một trình tải npm độc hại dẫn đến hành vi trộm cắp thông tin xác thực từ LSASS."
Những phát hiện tiếp theo từ Checkmarx phát hiện ra rằng Moonstone Sleet cũng đã cố gắng truyền bá các gói của họ thông qua sổ đăng ký npm.
Các gói mới được phát hiện được thiết kế để chạy tập lệnh cài đặt sẵn được chỉ định trong tệp package.json, do đó, kiểm tra xem nó có đang chạy trên hệ thống Windows ("Windows_NT"), sau đó nó liên hệ với máy chủ bên ngoài ("142.111.77 [.] 196") để tải xuống tệp DLL được tải từ bên ngoài bằng cách sử dụng tệp nhị phân rundll32.exe.
Về phần mình, DLL giả mạo không thực hiện bất kỳ hành động độc hại nào, cho thấy việc chạy thử cơ sở hạ tầng phân phối tải trọng của nó hoặc nó đã vô tình bị đẩy đến sổ đăng ký trước khi nhúng mã độc vào đó.
Sự phát triển này diễn ra khi Trung tâm An ninh mạng Quốc gia Hàn Quốc (NCSC) cảnh báo về các cuộc tấn công mạng do các nhóm đe dọa Triều Tiên theo dõi là Andariel và Kimsuky để cung cấp các họ phần mềm độc hại như Dora RAT và TrollAgent (hay còn gọi là Troll Stealer) như một phần của các chiến dịch xâm nhập nhằm vào lĩnh vực xây dựng và máy móc trong nước.
Chuỗi tấn công Dora RAT đáng chú ý vì tin tặc Andariel đã khai thác lỗ hổng trong cơ chế cập nhật phần mềm của phần mềm VPN trong nước để phát tán phần mềm độc hại.