StegaBin
A StegaBin fejlesztők elleni npm-csomag kihasználás, amelyben legalább 26 rosszindulatú JavaScript-csomagot fedeztek fel a nyílt forráskódú npm csomagtárban. Ezek a csomagok erősen rejtett módon tartalmaznak kártékony logikát, amely egy többlépcsős infostealer és RAT mechanizmust működtet.
A támadás kifinomultsága abban rejlik, hogy a rosszindulatú kód nem közvetlenül szerepel a csomag forrásában, hanem szteganográfiát használ egy olyan szolgáltatásban, mint a Pastebin, a csomagok telepítéskor vagy futtatáskor külső forrásból származó, rejtett kódblokkokat töltenek be, amelyek futása után a háttérben hátsóajtó-szerű funkciókat és credential capture-t aktiválnak. A támadók így képesek dinamikusan betölteni további modulokat vagy kódokat, manipulálni a célrendszeren futó projektet, és érzékeny hitelesítő adatokat vagy más bizalmas információkat exfiltrálni.
A Socket elemzők szerint ezek a csomagok valószínűleg egy Észak-Koreai APT-csoport Contagious Interview kampányához köthetők, amely a fejlesztői közösségre céloz, a fertőzött npm csomagok letöltésének és beépítésének reményében a fejlesztők akaratlanul juttatják be a kártékony kódot a saját projektjeikbe és fejlesztői környezetükbe.
