Nordkoreanske Hackere Udnytter Softwarebiblioteker til Malware
Et amerikansk cybersikkerhedsfirma har rapporteret, at nordkoreanske hackere har forvandlet et af verdens mest anvendte softwarebiblioteker til et leveringssystem for malware. I en rapport fra sidste uge oplyste forskere fra Socket, et firma specialiseret i forsyningskædesikkerhed, at de havde fundet mere end 300 ondsindede kodepakker uploadet til npm-registret, et centralt lager, der bruges af millioner af udviklere til at dele og installere JavaScript-software.
Pakkerne, som er små stykker genanvendelig kode, der anvendes i alt fra hjemmesider til kryptoprogrammer, var designet til at se harmløse ud. Men når de blev downloadet, installerede de malware, der kunne stjæle adgangskoder, browserdata og kryptovaluta-walletnøgler. Socket oplyste, at kampagnen, som de kalder “Contagious Interview”, er en del af en sofistikeret operation drevet af nordkoreanske statsstøttede hackere, der udgiver sig for at være teknologirekrutterere for at målrette udviklere inden for blockchain, Web3 og relaterede industrier.
Vigtigheden af npm og Sikkerhedstrusler
Hvorfor det er vigtigt: npm er i bund og grund ryggraden i det moderne web. At kompromittere det giver angribere mulighed for at slippe ondsindet kode ind i utallige downstream-apps. Sikkerhedseksperter har i årevis advaret om, at sådanne “softwareforsyningskæde”-angreb er blandt de farligste i cyberspace, fordi de spreder sig usynligt gennem legitime opdateringer og afhængigheder.
Socket’s forskere sporede kampagnen gennem en klynge af ensartede pakkenavne – forkert stavede versioner af populære biblioteker som express, dotenv og hardhat – samt gennem kode-mønstre knyttet til tidligere identificerede nordkoreanske malwarefamilier kendt som BeaverTail og InvisibleFerret. Angriberne anvendte krypterede “loader”-scripts, der dekrypterede og udførte skjulte payloads direkte i hukommelsen, hvilket efterlod få spor på disken.
“Der skete cirka 50.000 downloads af de ondsindede pakker, før mange blev fjernet, selvom nogle stadig er online.”
Hackerne brugte også falske LinkedIn-rekrutteringskonti, en taktik der stemmer overens med tidligere DPRK-cyber-espionagekampagner dokumenteret af den amerikanske Cybersecurity and Infrastructure Security Agency (CISA) og tidligere rapporteret i Decrypt. De ultimative mål, mener efterforskerne, var maskiner med adgangslegitimationer og digitale tegnebøger.
Udfordringer og Anbefalinger for Sikkerhed
Mens Socket’s fund stemmer overens med rapporter fra andre sikkerhedsgrupper og regeringsagenturer, der forbinder Nordkorea med kryptovaluta-tyverier, der beløber sig til milliarder af dollars, forbliver uafhængig verifikation af hver detalje – såsom det nøjagtige antal kompromitterede pakker – udestående. Alligevel er de tekniske beviser og mønstre, der er beskrevet, i overensstemmelse med tidligere hændelser, der tilskrives Pyongyang.
Npm’s ejer, GitHub, har sagt, at de fjerner ondsindede pakker, når de opdages, og forbedrer kravene til kontoverifikation. Men mønsteret, siger forskerne, er som et spil whack-a-mole: når en sæt ondsindede pakker fjernes, dukker der snart hundrede flere op.
For udviklere og kryptostartups understreger episoden, hvor sårbar softwareforsyningskæden er blevet. Sikkerhedsforskere opfordrer teams til at behandle hver “npm install”-kommando som potentiel kodeudførelse, scanne afhængigheder, før de integreres i projekter, og bruge automatiserede vurderingsværktøjer til at fange manipulerede pakker. Den open-source økosystems styrke – dens åbenhed – forbliver dens største svaghed, når modstandere beslutter at gøre den til et våben.
