One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8602955 |
| Date de publication | 2024-10-28 18:42:09 (vue: 2024-10-28 19:07:33) |
| Titre | Tenace Pungsan: un acteur de menace de la RPDC lié à une interview contagieuse Tenacious Pungsan: A DPRK threat actor linked to Contagious Interview |
| Texte | ## Instantané Datadog Security Research a découvert trois packages malveillants en utilisant des tactiques de squatting de nom dans NPM, Passports-JS, Bcrypts-JS et Blockscan-API, qui contenaient des échantillons de malware de Beavertail, une famille d'infosteaux JavaScript et de téléchargeurs utilisés par les acteurs de menace associés aux malades associés à laRépublique de Corée du peuple démocrate (RPRC).Les chercheurs de Datadog attribuent ces échantillons à un acteur de menace qu'ils appellent «Tenace Pungsan». ## Description La découverte est associée à l'interview contagieuse] (https://unit42.paloaltonetworks.com/two-campaignes-by-north-korea-bad-ctors-target-job-hunters/), qui [Microsoft attribue] (https://security.microsoft.com/intel-explorer/articles/9ce29d67) à Storm-1877, ciblant les développeurs de logiciels dans les secteurs.Les forfaits malveillants imitent les packages NPM légitimes: Passports-JS reproduit Passport, qui est le cadre d'authentification populaire pour les applications express;Bcrypts-js ressemble à Bcrypt.js (une bibliothèque Bcrypt largement utilisée avec une moyenne de 2,1 millions de téléchargements hebdomadaires), et BlockScan-API imite Etherscan-API, qui interface avec l'API Etherscan.BlockScan-API a été publié par User Compte Intelliman, tandis que Passports-JS et Bcrypts-JS ont été téléchargés par SuperDev727. Ces forfaits utilisent diverses techniques d'obscurcissement, telles que l'utilisation d'identifiants aléatoires, le décapage de la mise en forme et l'ajout d'opérations inutiles.La seule différence entre les packages Passports-JS et BCrypts-JS et leurs packages légitimes semblent être une ligne obscurcie identique insérée dans la source non obsolète.Tandis que BlockSCAN-API contenait une seule ligne obscurcie dans son propre fichier source plutôt que de code non obsolète.Les identifiants de campagne dans les scripts malveillants varient également l'échantillon de passports-js / bcrypts-js utilisent l'ID de la campagne 726, un identifiant non observé auparavant, tandis que l'échantillon de Blockscan-API utilise l'ID 52, que [Stacklok a observé] (https: // stacklok.com/blog/dependency-hijacking-dissecting-north-koreas-new-wave-of-defi-themed-open-source-attacks-targeting-developers) in a wave of a Contagious Interview-like campaigns targeting blockchain-related developer jobcandidats. Les trois forfaits malveillants ont été supprimés.Datadog rapporte que, au cours de leur durée de vie, Passports-Js a été téléchargé 118 fois, Bcrypts-Js 81 fois et Blockscan-API au moins 124 fois, totalisant 323 téléchargements. ## Recommandations Datadog Security recommandait de vérifier si l'un de ces packages est actuellement installé dans votre infrastructure.Si votre système est affecté, il a recommandé de prendre des mesures immédiates telles que des informations d'identification rotatives, d'isoler l'application et d'étudier la propagation potentielle.Datadog a publié toutes les versions affectées de passeports-js, bcrypts-js et blocsCan-API à leur [ensemble de données de package malveillant public] (https://github.com/datadog/malicious-software-packages-dataset). ## références [Tenace Pungsan: un acteur de menace de la RPDC lié à une interview contagieuse] (https: // securiTylabs.datadoghq.com/articles/tenace-pungsan-dprk-thereat-actor-Contagiy-interview /).Hache de forme de donnéesTy Labs (consulté en 2024-10-28) [Piratage des employeurs et recherche d'emploi: deux campagnes liées à l'emploi portent des caractéristiques des acteurs de la menace nord-coréenne] (https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-ctors-target-job-hunters/).Unité 42 (consultée en 2024-10-28) [Les acteurs nord-coréens ciblent les demandeurs d'emploi technologiques avec des logiciels malveillants multiplateformes] (https://security.microsoft.com/intel-explorer/articles/9ce29d67).Microsoft (consulté en 2024-10-28) [Rijacking de dépendance: |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | **© 118 124 1877 2024 2024** 323 726 accessed account across actor actorlinked actors adding affected all also any api appear applicants application applications; are associated attacks attribute attributes authentication average bad bcrypt bcrypts bear beavertail been between blockchain blockscan call campaign campaigns code com/articles/tenacious com/blog/dependency com/datadog/malicious com/intel com/two contagious contained content copyright credentials cross currently datadog datadoghq dataset defi democratic dependency description developer developers difference discovered discovery dissecting distribution downloaded downloaders downloads dprk employ employers employment: etherscan explorer/articles/9ce29d67 express family file formatting framework hacking hallmarks has have hijacking hijacking: https://github https://security https://securitylabs https://stacklok https://unit42 hunters/ identical identifiers ids imitates immediate impacted infostealers infrastructure inserted installed instead intelliman interfaces interview interview/ investigating isolating its javascript job js/bcrypts korea korean koreas labs least legitimate library lifespans like line linked malicious malware measures microsoft million mimick name new north npm obfuscated obfuscation observed only open operations over own package packages packages: paloaltonetworks part passport passports people permission platform popular potential previously prohibited public published pungsan pungsan: random reccommends recommendations recommended references related removed replicates reports reproduction republic research researchers resembles reserved rights rotating sample samples scripts sectors security seekers seeking single site snapshot software source spread squatting stacklok storm stripping such superdev727 system tactics take target targeting tech techniques tenacious themed thereof these threat three times totaling two unit unnecessary unobfuscated unobserved uploaded used user uses using various vary verifing versions wave weekly whether which which widely within without written your “tenacious |
| Tags | Malware Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.