Aktor Korea Utara dan Kampanye Malware Terbaru
Aktor ancaman siber yang terkait dengan Korea Utara, diidentifikasi oleh peneliti keamanan, sedang aktif mendistribusikan malware baru. Grup ini, yang sebelumnya dikenal sebagai ScarCruft atau APT37, kini menggunakan metode penyebaran yang lebih luas, menargetkan komunitas pengembang perangkat lunak.
Penyebaran Melalui Repositori npm
Metode utama yang digunakan dalam kampanye ini adalah melalui repositori npm, manajer paket populer untuk JavaScript dan Node.js. Para penyerang mengunggah sebanyak 67 paket berbahaya ke repositori tersebut. Paket-paket ini dirancang agar terlihat seperti pustaka yang sah, menggunakan nama yang mirip atau meniru paket populer untuk mengelabui pengembang agar mengunduhnya.
Malware XorIndex: Kemampuan Pintu Belakang
Malware yang disebarkan dalam kampanye ini dikenal sebagai XorIndex. Malware ini berfungsi sebagai pintu belakang (backdoor) yang canggih. Begitu terinstal di sistem pengembang, XorIndex memberikan penyerang akses persisten ke mesin yang terinfeksi. Ini memungkinkan mereka untuk menjalankan perintah jarak jauh, mencuri data sensitif, mengunduh file tambahan, dan mengunggah data dari sistem korban. Malware ini menggunakan teknik enkripsi XOR untuk mengaburkan komunikasi dan kode berbahaya.
Target Serangan dan Implikasi
Kampanye ini secara khusus menargetkan para pengembang, dengan tujuan potensial untuk melakukan serangan rantai pasokan (supply chain attacks). Dengan mengkompromikan mesin pengembang, aktor ancaman dapat berupaya menyuntikkan kode berbahaya ke dalam aplikasi atau pustaka yang sedang dikembangkan. Beberapa target awal yang teridentifikasi tampaknya berada di Korea Selatan. Penemuan paket-paket berbahaya ini dilakukan oleh tim peneliti di Checkmarx, yang menyoroti risiko yang terus berkembang terkait keamanan ekosistem perangkat lunak sumber terbuka.
Sumber: https://securityaffairs.com/179950/hacking/north-korea-linked-actors-spread-xorindex-malware-via-67-malicious-npm-packages.html