Cybersecurity Threat from North Korea
Isang kumpanya ng cybersecurity sa U.S. ang nagsabi na ang mga hacker mula sa Hilagang Korea ay ginawang sistema ng paghahatid ng malware ang isa sa mga pinakaginagamit na software library sa mundo. Sa isang ulat noong nakaraang linggo, sinabi ng mga mananaliksik mula sa Socket, isang kumpanya na nag-specialize sa seguridad ng supply chain, na natagpuan nila ang higit sa 300 nakakapinsalang package ng code na na-upload sa npm registry, isang sentral na imbakan na ginagamit ng milyon-milyong developer upang magbahagi at mag-install ng JavaScript software.
Nature of the Malware
Ang mga package—mga maliit na piraso ng reusable code na ginagamit sa lahat mula sa mga website hanggang sa mga crypto application—ay dinisenyo upang magmukhang walang panganib. Ngunit sa sandaling ma-download, nag-install ito ng malware na kayang magnakaw ng mga password, data ng browser, at mga susi ng cryptocurrency wallet. Sinabi ng Socket na ang kampanya, na tinatawag nilang “Contagious Interview,” ay bahagi ng isang sopistikadong operasyon na pinapatakbo ng mga hacker na sinusuportahan ng estado ng Hilagang Korea na nagpapanggap bilang mga tech recruiter upang targetin ang mga developer na nagtatrabaho sa blockchain, Web3, at mga kaugnay na industriya.
Importance of npm Registry
Bakit ito mahalaga: Ang npm ay sa katunayan ang gulugod ng modernong web. Ang pagkompromiso dito ay nagpapahintulot sa mga umaatake na ipasok ang nakakapinsalang code sa napakaraming downstream na apps. Nagbabala ang mga eksperto sa seguridad sa loob ng maraming taon na ang mga ganitong “software supply-chain” na pag-atake ay kabilang sa mga pinaka-mapanganib sa cyberspace dahil kumakalat ito nang hindi nakikita sa pamamagitan ng mga lehitimong update at dependencies.
Attack Methods
Sinubaybayan ng mga mananaliksik ng Socket ang kampanya sa pamamagitan ng isang grupo ng mga pangalan ng package na magkapareho—mga maling spelling ng mga sikat na library tulad ng express, dotenv, at hardhat—at sa pamamagitan ng mga pattern ng code na nauugnay sa mga naunang natukoy na pamilya ng malware mula sa Hilagang Korea na kilala bilang BeaverTail at InvisibleFerret.
Gumamit ang mga umaatake ng naka-encrypt na “loader” scripts na nag-decrypt at nag-execute ng mga nakatagong payloads nang direkta sa memorya, na nag-iiwan ng kaunting bakas sa disk. Sinabi ng kumpanya na humigit-kumulang 50,000 na pag-download ng mga nakakapinsalang package ang naganap bago marami ang natanggal, kahit na ang ilan ay nananatiling online.
Gumamit din ang mga hacker ng mga pekeng LinkedIn recruiter accounts, isang taktika na naaayon sa mga naunang kampanya ng cyber-espionage ng DPRK na naitala ng U.S. Cybersecurity and Infrastructure Security Agency (CISA) at naunang naiulat sa Decrypt. Ang mga pangunahing target, ayon sa mga imbestigador, ay mga makina na may hawak na access credentials at digital wallets.
Response and Recommendations
Habang ang mga natuklasan ng Socket ay tumutugma sa mga ulat mula sa iba pang mga grupo ng seguridad at mga ahensya ng gobyerno na nag-uugnay sa Hilagang Korea sa mga pagnanakaw ng cryptocurrency na umaabot sa bilyun-bilyong dolyar, ang independiyenteng beripikasyon ng bawat detalye—tulad ng eksaktong bilang ng mga nakompromisong package—ay nananatiling nakabinbin. Gayunpaman, ang teknikal na ebidensya at mga pattern na inilarawan ay tumutugma sa mga naunang insidente na iniuugnay sa Pyongyang.
Sinabi ng may-ari ng npm, GitHub, na tinatanggal nito ang mga nakakapinsalang package kapag natuklasan at pinabubuti ang mga kinakailangan sa pag-verify ng account. Ngunit ayon sa mga mananaliksik, ang pattern ay parang whack-a-mole: alisin ang isang set ng mga nakakapinsalang package, at daan-daang iba pa ang agad na pumapalit.
Para sa mga developer at crypto startups, ang insidente ay nagpapakita kung gaano kahina ang naging software supply chain. Pinapayuhan ng mga mananaliksik sa seguridad ang mga koponan na ituring ang bawat “npm install” na utos bilang potensyal na code execution, i-scan ang mga dependencies bago ito isama sa mga proyekto, at gumamit ng mga automated vetting tools upang mahuli ang mga na-manipulang package. Ang lakas ng open-source ecosystem—ang pagiging bukas nito—ay nananatiling pinakamalaking kahinaan kapag nagpasya ang mga kalaban na gawing sandata ito.
