I recenti attacchi informatici orchestrati da gruppi nordcoreani hanno raggiunto nuovi livelli di sofisticazione, come dimostrato dalla recente scoperta di 11 pacchetti npm malevoli utilizzati per distribuire il malware BeaverTail. Questi pacchetti, che sono stati scaricati oltre 5.600 volte prima di essere rimossi, rappresentano un nuovo vettore d'attacco in continua evoluzione nel contesto della sicurezza informatica.

Offuscamento e Strategie di Attacco

Gli attori della minaccia hanno utilizzato tecniche avanzate di offuscamento, come la codifica delle stringhe in esadecimale, per eludere i sistemi di rilevamento automatici e le revisioni manuali del codice. Secondo Kirill Boychenko, ricercatore di sicurezza presso Socket, questa variazione nelle tecniche suggerisce un'evoluzione nelle strategie di offuscamento adottate dai malintenzionati.

Tra i pacchetti individuati, alcuni si presentano come strumenti di utilità e debug, mentre uno specifico, dev-debugger-vite, ha utilizzato un indirizzo di comando e controllo (C2) precedentemente associato al gruppo Lazarus, noto per la campagna Phantom Circuit. Inoltre, alcuni pacchetti sono collegati a repository su Bitbucket, piuttosto che su GitHub, indicando una diversificazione nei metodi di distribuzione.

Obiettivi e Metodi di Infezione

L'obiettivo finale di questi attacchi è infiltrarsi nei sistemi degli sviluppatori, rubare dati sensibili, sottrarre risorse finanziarie e mantenere un accesso a lungo termine ai sistemi compromessi. L'uso di temi legati a colloqui di lavoro per attivare l'infezione è una tattica ricorrente, come dimostrato dall'analisi del pacchetto icloud-cod.

Recentemente, il gruppo ha anche implementato un nuovo backdoor per Windows, denominato Tropidoor, attraverso una campagna di phishing a tema reclutamento. Questo approccio evidenzia l'uso continuo di strategie di ingegneria sociale per ingannare le vittime e diffondere malware.