El famoso grupo de Chollima APT de Corea del Norte se ha convertido en un sofisticado actor de amenaza, orquestando campañas específicas contra buscadores de empleo y organizaciones a través de procesos de reclutamiento engañosos.
Activo desde diciembre de 2022, esta amenaza persistente avanzada ha desarrollado una intrincada metodología de ataque de varias etapas que explota la confianza que es inherente a las redes profesionales y las actividades de búsqueda de empleo.
Las operaciones del grupo representan una evolución significativa en las tácticas de ingeniería social, aprovechando la vulnerabilidad de las personas que buscan oportunidades de empleo para establecer un punto de apoyo dentro de las organizaciones objetivo.
La campaña de ataque demuestra una notable sofisticación en su enfoque, comenzando con los atacantes que se hacen pasar por reclutadores legítimos o contratando gerentes que invitan a posibles víctimas a participar en entrevistas en línea.
Durante estas interacciones aparentemente auténticas realizadas a través de plataformas de videoconferencia, los actores de amenaza manipulan hábilmente objetivos para descargar e instalar paquetes NPM maliciosos alojados en repositorios de Github.
Los atacantes presentan estos paquetes como un software legítimo que requiere evaluación técnica o revisión del código, armando efectivamente las prácticas estándar de las entrevistas de desarrollo de software.
Ingeniero de Seguridad ofensivo Abdulrehman Ali identificado La compleja cadena de infecciones del malware, señalando que el grupo se dirige estratégicamente a los desarrolladores de software y a los profesionales de TI que poseen experiencia técnica y acceso potencial a recursos organizacionales delicados.
La efectividad de la campaña proviene de su explotación de dos vulnerabilidades demográficas clave: los empleados recientemente despedidos que pueden retener las credenciales de acceso a los antiguos empleadores y profesionales activos que buscan oportunidades independientes junto con su empleo principal.
El mecanismo de entrega representa un abuso sofisticado de la infraestructura confiable de GitHub, transformando la plataforma en una red de distribución involuntaria para cargas útiles maliciosas.
Los atacantes crean repositorios que contienen paquetes de NPM integrados con un código JavaScript ofuscado diseñado para implementar la puerta trasera invisibleferret.
ofuscated_payload.js (fuente – medio)
Este malware basado en Python establece una comunicación persistente de comando y control a través de conexiones TCP aseguradas con cifrado XOR, lo que permite el acceso remoto y las capacidades de recolección de credenciales.
Mecanismo de infección
El proceso de infección del malware comienza con la ejecución del paquete NPM malicioso, que desencadena una secuencia de despliegue cuidadosamente orquestada.
Cadena de infección (fuente – medio)
Tras la instalación, la carga útil de JavaScript ejecuta comandos de reconocimiento del sistema y prepara el entorno para la instalación secundaria de Python Backdoor.
El componente invisibleFerret aprovecha el entorno Python existente del objetivo, una elección estratégica dado que la mayoría de los desarrolladores de software ya tienen las dependencias necesarias instaladas.
La puerta trasera establece la comunicación con los servidores de comando y control a través de canales TCP encriptados, utilizando el cifrado XOR con claves codificadas para ofuscar la transmisión de datos.
Servidor de comando y control (C2) (fuente-Medio)
La compatibilidad multiplataforma del malware permite operaciones en entornos de Windows, Linux y MacOS, maximizando la superficie de ataque en diversos ecosistemas de desarrollo.
Una vez establecido, la puerta trasera facilita la exfiltración de datos integral, incluida la recolección de credenciales del navegador y las capacidades de ejecución de comandos remotos.
El éxito de la campaña destaca las vulnerabilidades críticas en la seguridad de la cadena de suministro y las defensas de ingeniería social, particularmente dentro de las comunidades de desarrollo donde las interacciones de GitHub y las evaluaciones técnicas durante las entrevistas son prácticas estándar.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
