Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Севернокорејски хакери шират 1.700 злонамерни пакети преку npm, PyPI, Go и Rust

Објавено: 08.04.2026

Постојаната кампања поврзана со Северна Кореја, позната како Contagious Interview, го прошири своето дејствување со објавување злонамерни пакети насочени кон екосистемите на Go, Rust и PHP.

„Пакетите на напаѓачот беа дизајнирани да имитираат легитимни алатки за програмери […], додека тивко функционираат како вчитувачи на малициозен софтвер, проширувајќи го веќе познатиот модел на Contagious Interview во координирана supply chain операција преку повеќе екосистеми,“ изјави истражувачот од Socket, Кирил Бојченко, во извештај објавен во вторник.

Целосната листа на идентификувани пакети е следна:

  • npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
  • PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit
  • Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
  • Rust: logtrace
  • Packagist: golangorg/logkit

Овие „loader“ компоненти се дизајнирани да преземаат второстепени payload-и специфични за платформата, кои всушност се малициозен софтвер со можности за кражба на податоци (infostealer) и далечински пристап (RAT). Главно се насочени кон собирање податоци од веб-прелистувачи, менаџери на лозинки и крипто-паричници.

Сепак, Windows верзијата на малициозниот софтвер, испорачана преку „license-utils-kit“, содржи т.н. „целосен пост-компромитациски имплант“. Тој може да извршува shell команди, да снима притисоци на тастатура (keylogging), да краде податоци од прелистувачи, да прикачува датотеки, да гаси веб-прелистувачи, да инсталира AnyDesk за далечински пристап, да креира енкриптирани архиви и да презема дополнителни модули.

„Ова ја прави оваа група значајна не само поради нејзиниот опфат низ повеќе екосистеми, туку и поради длабочината на функционалностите по компромитацијата,“ додава Бојченко.

Она што ги прави овие библиотеки особено опасни е фактот што малициозниот код не се активира при инсталација. Наместо тоа, тој е вграден во навидум легитимни функции што се совпаѓаат со намената на пакетот. На пример, кај „logtrace“, кодот е скриен во функцијата „Logger::trace(i32)“, која ретко би предизвикала сомнеж кај програмерите.

Проширувањето на Contagious Interview низ пет open-source екосистеми е јасен показател дека станува збор за добро финансирана и упорна supply chain закана, дизајнирана систематски да ги инфилтрира овие платформи како почетна точка за пробивање во развојни средини – за шпионажа и финансиска корист.

Вкупно, компанијата Socket идентификувала повеќе од 1.700 злонамерни пакети поврзани со оваа активност од почетокот на јануари 2025 година.

Ова откритие е дел од поширока кампања за компромитирање на софтверскиот supply chain од страна на севернокорејски хакерски групи. Во тоа спаѓа и компромитирањето на популарниот npm пакет Axios, преку кој бил дистрибуиран имплант наречен WAVESHAPER.V2, откако напаѓачите го презеле акаунтот на одржувачот преку таргетирана социјална инженеринг кампања.

Нападот се припишува на финансиски мотивирана група позната како UNC1069, поврзана со BlueNoroff, Sapphire Sleet и Stardust Chollima. Според извештај на Security Alliance (SEAL), биле блокирани 164 домени поврзани со UNC1069 кои имитирале услуги како Microsoft Teams и Zoom во периодот од 6 февруари до 7 април 2026 година.

„UNC1069 спроведува повеќенеделни, нископритисочни кампањи на социјален инженеринг преку Telegram, LinkedIn и Slack – имитирајќи познати контакти или кредибилни брендови, или користејќи пристап до претходно компромитирани акаунти – пред да испрати лажен линк за Zoom или Microsoft Teams состанок,“ соопшти SEAL.

Овие лажни линкови служат како мамки слични на ClickFix, што доведува до извршување малициозен софтвер кој комуницира со сервер контролиран од напаѓачите за кражба на податоци и понатамошни напади на Windows, macOS и Linux системи.

„Операторите намерно не дејствуваат веднаш по првичниот пристап. Имплантот останува неактивен одреден период,“ додава SEAL. „Жртвата често го презакажува неуспешниот повик и продолжува со нормална работа, несвесна дека уредот е компромитиран. Ова трпение го продолжува времето на операција и ја максимизира добивката пред да се активира одговор на инцидент.“

Во изјава за The Hacker News, Microsoft посочи дека финансиски мотивираните севернокорејски актери постојано ги развиваат своите алатки и инфраструктура, користејќи домени што се претставуваат како американски финансиски институции и апликации за видео-конференции за целите на социјален инженеринг.

„Она што постојано го гледаме е континуирана еволуција во начинот на работа на актерите поврзани со Северна Кореја – промени во алатките, инфраструктурата и таргетирањето, но со јасен континуитет во однесувањето и намерите,“ изјави Шерод ДеГрипо, генерален менаџер за разузнавање за закани во Microsoft.

Извори:

  • The Hacker News – N. Korean Hackers Spread 1,700 Malicious Packages Across npm, PyPI, Go, Rust The Hacker News