朝鲜黑客Moonstone Sleet将恶意JS 包推送到npm 注册表

与朝鲜有关的威胁行为者Moonstone Sleet 继续将恶意npm 包推送到JavaScript 包注册表，目的是感染Windows 系统，这凸显了他们活动的持久性。
        据Datadog 安全实验室称，有问题的软件包harthat-api 和harthat-hash 于2024 年7 月7 日发布。这两个库都没有吸引任何下载，并在短时间内被撤下。
        这家云监控公司的安全部门正在以Stressed Pungsan 的名义追踪威胁行为者，它与新发现的朝鲜恶意活动集群Moonstone Sleet 有重叠。
        Datadog 研究人员Sebastian Obregoso 和Zack Allen 说:“虽然这个名字类似于Hardhat npm 包（一种以太坊开发实用程序），但其内容并没有表明有任何抢注它的意图。该恶意软件包重用了来自著名的GitHub 存储库node-config 的代码，该存储库有超过6000 个星标和500 个分支，在 npm 中称为config。”
        据了解，敌对团体精心策划的攻击链会通过LinkedIn 以虚假的公司名称或自由职业网站传播虚假的ZIP 存档文件，诱使潜在目标执行调用npm 软件包的有效负载，作为所谓的技术技能评估的一部分。
        “加载时，恶意软件包使用curl 连接到参与者控制的IP 并投放其他恶意负载，例如SplitLoader，”微软在2024 年5 月指出。“在另一起事件中，Moonstone Sleet 提供了一个恶意的npm 加载器，导致 LSASS 的凭据被盗。”
        Checkmarx 随后的调查结果发现，Moonstone Sleet 也一直在试图通过npm 注册表传播他们的软件包。新发现的软件包旨在运行package.json 文件中指定的预安装脚本，该脚本依次检查它是否在Windows 系统（“Windows_NT”）上运行，然后联系外部服务
       （“142.111.77[.]196”）以下载使用rundll32.exe 二进制文件进行侧载的 DLL 文件。
        而恶意 DLL 则不会执行任何恶意操作，这表明它要么是对其有效载荷交付基础设施的试运行，要么是在嵌入恶意代码之前被无意中推送到注册表。
        韩国国家网络安全中心 (NCSC) 警告称，朝鲜威胁组织Andariel 和Kimsuky 发起网络攻击，以传播Dora RAT 和TrollAgent（又名Troll Stealer）等恶意软件系列，作为针对该国建筑和机械行业的入侵活动的一部分。
        Dora RAT 攻击序列值得注意的是，Andariel 黑客利用了国内VPN 软件的软件更新机制中的漏洞来传播恶意软件。