Nghiên cứu của Veracode Threat Research đã phát hiện một mối đe dọa mạng tinh vi từ Triều Tiên, liên quan đến các chiến dịch đánh cắp tiền điện tử. Hoạt động này tiếp nối và phát triển từ những báo cáo trước đây vào tháng 2 và tháng 6 năm 2024.

Chiến dịch Tấn công và Kỹ thuật Lan truyền

Phiên bản mới nhất của chiến dịch tấn công này sử dụng mười hai gói NPM độc hại. Các gói này bao gồm cloud-binary, json-cookie-csv, cloudmedia, và nodemailer-enhancer. Các hệ thống giám sát tự động đã nhanh chóng gắn cờ và NPM registry đã tiến hành gỡ bỏ chúng.

Các đối tượng tấn công, được nghi ngờ là các tác nhân được nhà nước bảo trợ nhằm tài trợ cho các hoạt động bị trừng phạt, đã mạo danh nhà tuyển dụng. Họ đưa ra các lời mời làm việc giả mạo cho các nhà phát triển.

Trong các buổi phỏng vấn được dàn dựng, nạn nhân bị lừa cài đặt các gói độc hại này như một phần của các bài tập lập trình hoặc kiểm tra mã nguồn. Chẳng hạn, họ được yêu cầu chạy các bài kiểm tra đơn vị (unit tests) mà thực chất lại kích hoạt mã độc ẩn.

Chiến thuật này lợi dụng sự tin tưởng trong quy trình tuyển dụng để triển khai các payload. Các payload này được thiết kế để đánh cắp dữ liệu ví tiền điện tử, thông tin đăng nhập tiện ích mở rộng trình duyệt và các tệp nhạy cảm khác từ máy tính của nhà phát triển. Điều này tiềm ẩn nguy cơ xâm nhập vào mạng lưới doanh nghiệp, thể hiện sự phức tạp của mối đe dọa mạng này.

Phân tích Kỹ thuật Mã độc Beavertail

Mã độc được xác định là các biến thể thuộc họ Beavertail. Chúng sử dụng các kỹ thuật che giấu (obfuscation) và mã hóa tiên tiến để né tránh sự phát hiện. Các payload thường được ẩn trong các tệp có vẻ vô hại, như tệp giấy phép (licenses) hoặc tập lệnh phân tích (analytics scripts).

Ví dụ điển hình là gói cloud-binary, một dạng typosquatting của gói cloudinary hợp pháp. Trong gói này, một hook postinstall được kích hoạt. Hook này tạo ra một quy trình độc lập (detached process).

Quy trình độc lập này thực hiện giải mã một payload được mã hóa AES-256 bằng cách sử dụng một khóa và IV cố định. Sau khi giải mã, mã JavaScript bị che giấu sẽ được tiết lộ.

Khả năng Đa Nền tảng và Thu thập Thông tin

Mã độc này được thiết kế để hoạt động trên nhiều nền tảng, bao gồm Windows, macOS và Linux. Nó có khả năng liệt kê các chi tiết hệ thống cơ bản như loại hệ điều hành, tên người dùng và kiến trúc nền tảng.

Tiếp theo, mã độc tiến hành tìm kiếm các tiện ích mở rộng trình duyệt liên quan đến tiền điện tử, chẳng hạn như MetaMask và Phantom, bằng cách sử dụng ID của chúng.

Mã độc thu thập và rút trích nhiều loại tệp. Đặc biệt là các cơ sở dữ liệu .log và .ldb thường chứa khóa riêng tư và cụm từ hạt giống (seed phrases) của ví tiền điện tử.

Ngoài ra, nó còn thu thập các tài liệu thông thường như tệp PDF, ảnh chụp màn hình và dữ liệu từ macOS Keychain. Việc này cho thấy mục tiêu đánh cắp dữ liệu nhạy cảm và toàn diện của chiến dịch.

Chức năng Giao tiếp và Tấn công Giai đoạn Hai

Các tính năng nâng cao của mã độc bao gồm khả năng tải xuống các payload giai đoạn hai. Quá trình này được thực hiện thông qua lệnh curl từ các máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công.

Mã độc cũng có thể thực thi các tập lệnh Python tùy ý, được lấy từ các điểm cuối như http://144.172.105.235:1224/client/5346/324. Đây là dấu hiệu rõ ràng của một mối đe dọa mạng tiên tiến và có khả năng thích ứng cao.

Việc thiết lập kết nối WebSocket cho phép kẻ tấn công thực thi lệnh shell từ xa. Điều này mang lại cho chúng quyền kiểm soát đáng kể trên hệ thống bị xâm nhập, phản ánh bản chất linh hoạt của mối đe dọa mạng.

Các cuộc điều tra của Veracode đã tiết lộ sự tương đồng về mã giữa các gói độc hại, ví dụ như việc tạo thư mục ~/.n3. Điều này cho thấy mã độc đã ở phiên bản 3.

Khóa mã hóa và cơ sở hạ tầng C2, bao gồm các cổng như 1224, được tái sử dụng. Điều này liên kết các cuộc tấn công gần đây với các chiến dịch trước đó của cùng một tác nhân.

Các Biến thể và Đặc điểm Nhận dạng

Các biến thể của mã độc Beavertail khác nhau về độ phức tạp và kỹ thuật che giấu. Một số biến thể, như nodemailer-enhancer, ẩn payload trong các tệp giấy phép được mã hóa hex và giải mã bằng các khóa có entropy cao.

Trong khi đó, các biến thể khác như json-cookie-csv tích hợp các máy chủ C2 dự phòng và sử dụng các yêu cầu axios để lấy thêm mã JavaScript bị che giấu từ các điểm cuối như https://api.npoint.io/e5a5e32cdf9bfe7d2386. Các điểm cuối này thường chứa các cờ chiến dịch, cung cấp thông tin chi tiết về hoạt động.

Một điểm đáng chú ý là một số payload còn chứa các thông điệp châm chọc, gợi ý khả năng có sự tham gia của nhiều đối tượng hoặc thậm chí là mâu thuẫn nội bộ trong nhóm tin tặc. Veracode’s Package Firewall đã chủ động chặn hầu hết các gói độc hại này trước khi chúng có thể gây hại. Thông báo kịp thời đến NPM cũng đã đảm bảo việc gỡ bỏ chúng khỏi registry.

Chỉ số Nhận dạng (IOCs) và Khuyến nghị Phòng ngừa

Các chỉ số thỏa hiệp (IOCs) liên quan đến chiến dịch mối đe dọa mạng này bao gồm:

• Các gói NPM độc hại đã được gỡ bỏ:
  • cloud-binary
  • json-cookie-csv
  • cloudmedia
  • nodemailer-enhancer
• Máy chủ Command-and-Control (C2):
  • http://144.172.105.235:1224/client/5346/324
  • https://api.npoint.io/e5a5e32cdf9bfe7d2386
• Thư mục mã độc thường được tạo:~/.n3

Chiến dịch này nhấn mạnh những rủi ro cố hữu trong hệ sinh thái mã nguồn mở, nơi kẻ tấn công lợi dụng các lỗ hổng chuỗi cung ứng để nhắm mục tiêu vào các tài sản có giá trị cao như tài sản tiền điện tử và bí mật công ty. Việc cảnh giác và áp dụng các biện pháp bảo mật chặt chẽ trước những mối đe dọa mạng như vậy là vô cùng quan trọng.

Để tìm hiểu thêm về phân tích chi tiết của Veracode, bạn có thể tham khảo tại blog của Veracode.