ពួក Hacker កូរ៉េខាងជើងដាក់ពង្រាយកញ្ចប់ npm ចំនួន 197 ដើម្បីផ្សព្វផ្សាយមេរោគ OtterCookie ដែលបានធ្វើបច្ចុប្បន្នភាព

ភ្នាក់ងារគំរាមកំហែងកូរ៉េខាងជើងនៅពីក្រោយយុទ្ធនាការ Contagious Interview បានបន្តជន់លិចបញ្ជីឈ្មោះ npm ជាមួយនឹងកញ្ចប់ព្យាបាទចំនួន 197 បន្ថែមទៀតចាប់តាំងពីខែមុន។

យោងតាម ​​Socket កញ្ចប់ទាំងនេះត្រូវបានទាញយកជាង 31,000 ដង ហើយត្រូវបានរចនាឡើងដើម្បីផ្តល់នូវបំរែបំរួលនៃ OtterCookie ដែលរួមបញ្ចូលគ្នានូវលក្ខណៈពិសេសរបស់ BeaverTail និងកំណែមុនៗរបស់ OtterCookie។

កញ្ចប់ "loader" មួយចំនួនដែលត្រូវបានកំណត់អត្តសញ្ញាណត្រូវបានរាយខាងក្រោម -

-bcryptjs-node

-cross-sessions

-json-oauth

-node-tailwind

-react-adparser

-session-keeper

-tailwind-magic

-tailwindcss-forms

-webpack-loadcss

មេរោគ​នេះ នៅពេល​ដែល​វា​ត្រូវ​បាន​ដាក់​ឲ្យ​ដំណើរការ​រួច វា​ព្យាយាម​គេច​ពី​ប្រអប់​ខ្សាច់ និង​ម៉ាស៊ីន​និម្មិត ធ្វើ​ប្រវត្តិរូប​ម៉ាស៊ីន ហើយ​បន្ទាប់​មក​បង្កើត​ឆានែល​បញ្ជា និង​គ្រប់គ្រង (C2) ដើម្បី​ផ្តល់​ឲ្យ​អ្នក​វាយប្រហារ​នូវ​សែល​ពីចម្ងាយ រួម​ជាមួយ​នឹង​សមត្ថភាព​ក្នុង​ការ​លួច​មាតិកា​ក្ដារ​តម្បៀត​ខ្ទាស់ កត់ត្រា​ការ​ចុច​គ្រាប់ចុច ថត​រូបភាព​អេក្រង់ និង​ប្រមូល​ព័ត៌មាន​សម្ងាត់​របស់​កម្មវិធី​រុករក ឯកសារ ទិន្នន័យ​កាបូប​រូបិយប័ណ្ណ​ឌីជីថល និង​ឃ្លា​ដើម។

គួរកត់សម្គាល់ថា ភាពខុសគ្នា​ដ៏​មិន​ច្បាស់លាស់​រវាង OtterCookie និង BeaverTail ត្រូវ​បាន​កត់ត្រា​ដោយ Cisco Talos កាលពីខែមុន​ទាក់ទង​នឹង​ការ​ឆ្លង​មេរោគ​ដែល​ប៉ះពាល់​ដល់​ប្រព័ន្ធ​មួយ​ដែល​ទាក់ទង​នឹង​អង្គការ​មួយ​ដែល​មាន​ទីស្នាក់ការ​នៅ​ប្រទេស​ស្រីលង្កា បន្ទាប់ពី​អ្នកប្រើប្រាស់​ទំនង​ជា​ត្រូវ​បាន​គេ​បោកបញ្ឆោត​ឲ្យ​ដំណើរការ​កម្មវិធី Node.js ជា​ផ្នែក​មួយ​នៃ​ដំណើរការ​សម្ភាសន៍​ការងារ​ក្លែងក្លាយ។

ការវិភាគបន្ថែមបានកំណត់ថា កញ្ចប់ទាំងនេះត្រូវបានរចនាឡើងដើម្បីភ្ជាប់ទៅ URL Vercel ដែលមានកូដរឹង ("tetrismic.vercel[.]app") ដែលបន្ទាប់មកបន្តទៅទាញយក OtterCookie payload ឆ្លងវេទិកាពីឃ្លាំង GitHub ដែលគ្រប់គ្រងដោយអ្នកគំរាមកំហែង។ គណនី GitHub ដែលបម្រើជាយានជំនិះចែកចាយ stardev0914 លែងអាចចូលប្រើបានទៀតហើយ។

អ្នកស្រាវជ្រាវសន្តិសុខ Kirill Boychenko បាននិយាយថា "ល្បឿនដ៏ស្ថិតស្ថេរនេះធ្វើឱ្យ Contagious Interview ក្លាយជាយុទ្ធនាការមួយក្នុងចំណោមយុទ្ធនាការដែលមានផលិតភាពបំផុតដែលកេងប្រវ័ញ្ច npm ហើយវាបង្ហាញពីរបៀបដែលតួអង្គគំរាមកំហែងកូរ៉េខាងជើងបានសម្របឧបករណ៍របស់ពួកគេទៅនឹង JavaScript ទំនើប និងលំហូរការងារអភិវឌ្ឍន៍ដែលផ្តោតលើគ្រីបតូ"។

ការអភិវឌ្ឍនេះកើតឡើងនៅពេលដែលគេហទំព័រដែលមានប្រធានបទវាយតម្លៃក្លែងក្លាយដែលបង្កើតឡើងដោយតួអង្គគំរាមកំហែងបានទាញយកអត្ថប្រយោជន៍ពីការណែនាំបែប ClickFix ដើម្បីចែកចាយមេរោគដែលហៅថា GolangGhost (ហៅកាត់ថា FlexibleFerret ឬ WeaselStore) ក្រោមលេសនៃការជួសជុលបញ្ហាកាមេរ៉ា ឬមីក្រូហ្វូន។ សកម្មភាពនេះត្រូវបានតាមដានក្រោមឈ្មោះហៅក្រៅថា ClickFake Interview។

សរសេរនៅក្នុង Go មេរោគនេះទាក់ទងម៉ាស៊ីនមេ C2 ដែលបានអ៊ិនកូដយ៉ាងរឹងមាំ ហើយចូលទៅក្នុងរង្វិលជុំដំណើរការពាក្យបញ្ជាជាប់លាប់ ដើម្បីប្រមូលព័ត៌មានប្រព័ន្ធ ផ្ទុកឡើង/ទាញយកឯកសារ ដំណើរការពាក្យបញ្ជាប្រព័ន្ធប្រតិបត្តិការ និងប្រមូលព័ត៌មានពី Google Chrome។ ភាពជាប់លាប់ត្រូវបានសម្រេចដោយការសរសេរ macOS LaunchAgent ដែលបង្កឱ្យមានការប្រតិបត្តិរបស់វាតាមរយៈស្គ្រីបសែលដោយស្វ័យប្រវត្តិនៅពេលអ្នកប្រើប្រាស់ចូល។

កម្មវិធីក្លែងក្លាយដែលត្រូវបានដំឡើងជាផ្នែកមួយនៃខ្សែសង្វាក់វាយប្រហារ ដែលបង្ហាញប្រអប់បញ្ចូលការចូលប្រើកាមេរ៉ា Chrome ក្លែងក្លាយ ដើម្បីបន្តល្បិចកល។ បន្ទាប់មក វាបង្ហាញប្រអប់បញ្ចូលពាក្យសម្ងាត់រចនាប័ទ្ម Chrome ដែលចាប់យកខ្លឹមសារដែលបានបញ្ចូលដោយអ្នកប្រើប្រាស់ ហើយផ្ញើវាទៅគណនី Dropbox។

លោក Validin បាននិយាយថា "ទោះបីជាមានការត្រួតស៊ីគ្នាខ្លះក៏ដោយ យុទ្ធនាការនេះគឺខុសពីគម្រោងកម្មករ IT កូរ៉េខាងជើងផ្សេងទៀត ដែលផ្តោតលើការបង្កប់តួអង្គនៅក្នុងអាជីវកម្មស្របច្បាប់ក្រោមអត្តសញ្ញាណក្លែងក្លាយ"។ "ផ្ទុយទៅវិញ Contagious Interview ត្រូវបានរចនាឡើងដើម្បីសម្របសម្រួលបុគ្គលតាមរយៈបំពង់ជ្រើសរើសបុគ្គលិកដែលបានរៀបចំឡើង លំហាត់សរសេរកូដព្យាបាទ និងវេទិកាជួលបុគ្គលិកក្លែងក្លាយ ដោយប្រើប្រាស់ដំណើរការដាក់ពាក្យសុំការងារដោយខ្លួនឯង"។