RAT в оболочке дебаггера: чем опасны новые пакеты Lazarus Group

Северокорейская кибергруппировка, стоящая за кампанией Contagious Interview, вновь активизировалась и расширила свои действия в экосистеме npm. Исследователи безопасности из компании Socket зафиксировали публикацию одиннадцати зловредных пакетов, которые распространяли вредонос BeaverTail, а также новый загрузчик удалённого доступа. Под видом утилит и инструментов отладки злоумышленники внедряли вредоносный код, избегая обнаружения благодаря обфускации в виде шестнадцатеричных строк.

Перед удалением с платформы перечисленные npm-пакеты были загружены более 5600 раз. Среди них: empty-array-validator, twitterapis, dev-debugger-vite, snore-log, core-pino, events-utils, icloud-cod, cln-logger, node-clog, consolidate-log и consolidate-logger. В ряде случаев загрузчики обращались к репозиториям на Bitbucket вместо традиционного GitHub, что говорит о стремлении к маскировке и усложнению отслеживания. Один из пакетов, icloud-cod, размещён в папке «eiwork_hire», продолжая тему поддельных собеседований, через которые происходит заражение.

Как отмечают исследователи, код некоторых пакетов, таких как cln-logger и consolidate-logger, отличается незначительными вариациями, что свидетельствует о тестировании различных вариантов вредоносного ПО. Несмотря на различия, все четыре пакета выполняют функцию загрузчика, способного передавать следующий этап атаки с удалённого сервера и исполнять его через eval() — приём, позволяющий атакующим запускать произвольный код.

Ранее было выявлено шесть аналогичных пакетов с тем же функционалом. Их основная цель — получить доступ к системам разработчиков, маскируясь под профессиональные контакты, и закрепиться в инфраструктуре, похищая данные и финансовую информацию. По словам специалистов, вредоносный код способен не только загружать другие компоненты, но и самостоятельно действовать как полноценный RAT.

Кампания Contagious Interview продолжается уже больше полугода. Её организаторы регулярно создают новые npm-аккаунты, размещают вредоносные пакеты на GitHub и Bitbucket, а также применяют социальную инженерию в духе метода ClickFix. Группировка активно использует BeaverTail и связанный с ним Python-бэкдор InvisibleFerret, распространяя их под разными именами и с использованием всё новых платформ.

Согласно выводам аналитиков, деятельность Contagious Interview остаётся устойчивой и адаптивной. Преступники варьируют инструменты, обновляют код и меняют методы доставки, что усложняет своевременное выявление угрозы. На фоне активного распространения вредоносных npm-пакетов специалисты напоминают об опасности не только подозрительных вложений, но и исполняемых файлов, поступающих из непроверенных источников.