Los hackers norcoreanos actualizan el malware BeaverTail para atacar a usuarios de MacOS

Aunque BeaverTail se ha distribuido a través de paquetes npm falsos alojados en GitHub y el registro de paquetes npm, los hallazgos más recientes marcan un cambio en el vector de distribución.

«Si tuviera que adivinar, los hackers de la RPDC probablemente se acercaron a sus posibles víctimas solicitando que se unieran a una reunión de contratación, descargando y ejecutando la versión infectada de MiroTalk alojada en mirotalk[.]net,» dijo Wardle.

Un análisis del archivo DMG no firmado revela que facilita el robo de datos de carteras de criptomonedas, iCloud Keychain y navegadores web como Google Chrome, Brave y Opera. Además, está diseñado para descargar y ejecutar scripts adicionales de Python desde un servidor remoto (es decir, InvisibleFerret).

«Los hackers norcoreanos son un grupo astuto y son bastante hábiles en hackear objetivos de macOS, aunque su técnica a menudo se basa en la ingeniería social (y, por lo tanto, desde un punto de vista técnico, son bastante poco impresionantes),» dijo Wardle.

La divulgación se produce cuando Phylum descubrió un nuevo paquete npm malicioso llamado call-blockflow que es prácticamente idéntico a la biblioteca legítima call-bind, pero incorpora una funcionalidad compleja para descargar un archivo binario remoto mientras hace grandes esfuerzos por pasar desapercibido.

«En este ataque, aunque el paquete call-bind no ha sido comprometido, el paquete call-blockflow armado copia toda la confianza y legitimidad del original para aumentar el éxito del ataque,» dijo en un comunicado compartido con The Hacker News.

El paquete, sospechoso de ser obra del grupo Lazarus vinculado a Corea del Norte y no publicado una hora y media después de haber sido subido a npm, atrajo un total de 18 descargas. La evidencia sugiere que la actividad, que comprende más de tres docenas de paquetes maliciosos, ha estado en marcha en oleadas desde septiembre de 2023.

«Estos paquetes, una vez instalados, descargarían un archivo remoto, lo descifrarían, ejecutarían una función exportada desde él y luego cubrirían meticulosamente sus huellas eliminando y renombrando archivos,» dijo la compañía de seguridad de la cadena de suministro de software. «Esto dejó el directorio del paquete en un estado aparentemente benigno después de la instalación.»

También sigue un aviso de JPCERT/CC, advirtiendo de ataques cibernéticos orquestados por el actor norcoreano Kimsuky dirigidos a organizaciones japonesas.

El proceso de infección comienza con mensajes de phishing que se hacen pasar por organizaciones de seguridad y diplomáticas, y contienen un ejecutable malicioso que, al abrirse, lleva a la descarga de un script de Visual Basic (VBS), que, a su vez, recupera un script de PowerShell para recolectar información de cuentas de usuario, sistema y red, así como enumerar archivos y procesos.

La información recopilada se exfiltra a un servidor de comando y control (C2), que responde con un segundo archivo VBS que luego se ejecuta para obtener y ejecutar un registrador de teclas basado en PowerShell llamado InfoKey.

«Aunque ha habido pocos informes de actividades de ataque por parte de Kimsuky dirigidos a organizaciones en Japón, existe la posibilidad de que Japón también esté siendo activamente atacado,» dijo JPCERT/CC.