به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، شرکت امنیت سایبری فیلوم (Phylum)، که در نظارت بر زنجیره تأمین نرمافزارهای متنباز تخصص دارد، اعلام کرد که اخیراً شاهد افزایش فعالیتهای گروههای کره شمالی با نامهای کانتیجس اینترویوو (Contagious Interview) و مون استون اسلیت (Moonstone Sleet) در npm بوده است.
مخزن npm به توسعهدهندگان اجازه میدهد بستهها، کتابخانهها و ابزارهای جاوا اسکریپت را منتشر و به اشتراک بگذارند.
طبق گزارشهای قبلی، گروه کانتیجس اینترویوو این نام را به دلیل اقدامات قبلی خود برای آلوده کردن توسعهدهندگان از طریق مصاحبههای شغلی ساختگی دریافت کرده است.
گروه مون استون اسلیت، شرکتهای نرمافزاری و شرکتهای دفاعی را با انواع سفارشی باجافزار و کلاهبرداریهای پیچیده هدف قرار داده است.
کره شمالی به دلیل سرقت ارزهای دیجیتال و اجرای کلاهبرداریهایی که برای تأمین مالی برنامه تسلیحات هستهای تحریمشده و دیگر عملیاتها استفاده میشوند، شناخته شده است.
شرکت فیلوم اعلام کرد بستههای مخربی که در npm منتشر شدهاند با نامهای temp-etherscan-api، ethersscan-api، telegram-con، helmet-validate و qq-console شناخته میشوند.
محققان اعلام کردند:
این حملات با جاوا اسکریپتهای مبهم چند مرحلهای شناخته میشوند که اجزای بدافزار اضافی را از سرورهای راه دور دانلود میکنند.
هدف احتمالی این هکرها شامل سرقت دادههای حساس از افزونههای مرورگر کیف پولهای ارز دیجیتال و ایجاد ماندگاری در دستگاه قربانی است.
شرکت فیلوم در ادامه افزود:
این دشمنان به طور مداوم از اعتماد ذاتی در اکوسیستم npm سوءاستفاده میکنند تا توسعهدهندگان را آلوده، به شرکتها نفوذ کرده و ارز دیجیتال یا هر دارایی دیگری را که میتواند به سود مالی غیرقانونی منجر شود، به سرقت ببرند.
