Los famosos piratas informáticos de Chollima se dirigen a los desarrolladores de PHP que utilizan el paquete Packagist comprometido

Un conocido actor de amenazas norcoreano ha sido descubierto ocultando malware dentro de un paquete PHP legítimo disponible a través de Packagist, el principal repositorio de paquetes para proyectos PHP. El grupo de amenazas detrás de este ataque es conocido como Famous Chollima, un equipo de ciberataques patrocinado por el Estado de Corea del Norte con una larga trayectoria dirigida a desarrolladores.

Investigadores de seguridad de Socket.dev informaron a Cyber Security News (CSN) que encontraron JavaScript malicioso oculto dentro de un archivo llamado tailwind.js, incluido en la versión de desarrollo del paquete PHP roberts/leads, bajo el paquete dev-drewroberts/feature/test-case publicado en Packagist. El malware se encuentra oculto dentro de lo que parece un archivo de configuración CSS estándar de Tailwind. Una vez ejecutado, este código ofuscado se transforma silenciosamente en un cargador de malware en JavaScript que opera dentro de Node.js.

Los llamados hackers de Famous Chollima apuntan a desarrolladores de PHP. El cargador malicioso dentro de tailwind.js no se comporta como el malware tradicional que se ejecuta en servidores comprometidos de forma evidente.

El marcador de campaña global['!']=’9-0264-2′ incrustado en el código es un identificador conocido vinculado a operaciones anteriores de Famous Chollima, lo que lo relaciona con familias de malware como DEV#POPPER RAT, OmniStealer y BeaverTail. Una vez dentro del entorno Node.js, el malware puede leer variables de entorno que contienen credenciales en la nube y secretos de CI, capturar archivos locales como .env y claves SSH, acceder a tokens almacenados y ejecutar procesos adicionales.

Consultar publicación original ↗