Северокорейских хакеров снова заподозрили в распространении вредоносных пакетов для JavaScript

Хакеры из Северной Кореи в период с 9 по 12 августа распространили как минимум 9 вредоносных npm пакетов для JavaScript. Об опасности сообщили исследователи компании  Phylum. Аналитики уточняют, что механизм распространения аналогичен наблюдавшемуся в июне текущего года. Его, как и нынешнее появление зараженных плагинов, связали именно с деятельностью северокорейских хакеров.

Речь идет о плагинах с названиями ws-paso-jssdk, pingan-vue-floating, srm-front-util, cloud-room-video, progress-player, ynf-core-loader, ynf-core-renderer, ynf-dx-scripts и ynf-dx-webpack. Небольшое количество плагинов с вредоносным кодом, по мнению компании, указывает на атаку с четко определенными целями. Авторы исследования также предполагают использование социальной инженерии, чтобы побудить потенциальную жертву установить все опасные плагины.

Атака начинается с расположенного внутри пакета файла .json. В процессе установки пакета он запускает выполнение index.js. Далее используется менеджер процессов PM2, который запускает еще один файл app.js. От запуска установки пакета до передачи похищенных данных проходит в среднем 45 секунд.