No último dia 31 de março, um agente hostil foi detectado utilizando credenciais de manutenção para comprometer a biblioteca de clientes HTTP Axios Node Package Manager e aplicar variantes específicas do malware ZshBucket.
A detecção foi feita pelo time de threat intel da CrowdStrike e foi atribuída, com grau moderado de confiança, ao grupo cibercriminoso Stardust Chollima, conhecido por ser patrocinado pelo governo norte-coreano e por aplicar metodologias similares às utilizadas nesse incidente.
O ZshBucket pode ser usado para atacar sistemas Linux, macOS e Windows, mas, anteriormente, apenas variantes do ZshBucket para macOS haviam sido observadas. A variante para macOS observada neste caso reutiliza amplamente o código de instâncias anteriores, incluindo nomes de funções.
Todas as variantes mantêm características de instâncias anteriores, incluindo a forma como traçam o perfil do usuário e do host do sistema operacional, e como enviam as informações coletadas.
O adversário também fez atualizações significativas na funcionalidade e no protocolo de mensagens da instância do ZshBucket implantada neste incidente, em comparação com variantes anteriores. Esses comandos substituem a funcionalidade simples de download e execução das instâncias anteriores
Nesta ocorrência, ele Implementou um protocolo de mensagens comum baseado em JSON para todas as instâncias específicas de plataforma, bem como comandos que permitem ao operador injetar cargas binárias, executar scripts e comandos arbitrários, enumerar o sistema de arquivos e encerrar o implante remotamente.
Embora o malware utilizado seja exclusivamente atribuido às atividades do Stardust Chollima, e pelas ações cruzarem com as infraestruturas utilizadas pelo grupo cibercriminoso, também foram detectados cruzamentos com as operações do Famous Chollima, um outro agente de ameaças norte-coreano.
Os adversários ligados à Coreia do Norte costumam compartilhar infraestrutura, e o Famous Chollima tem historicamente utilizado ferramentas associadas à Coreia do Norte e abusado extensivamente de repositórios npm em suas operações. Assim, o o grupo também poderia ser o responsável por este incidente.
No entanto, as variantes atualizadas do ZshBucket utilizadas neste ataque à cadeia de suprimentos são tecnicamente mais avançadas do que o malware que o Famous Chollima costuma usar, e é mais provável que este incidente seja atribuído ao Stardust Chollima.
Os alvos pretendidos por esse ataque não estão claros. O pacote npm Axios é uma biblioteca de cliente HTTP amplamente utilizada, com mais de 100.000 downloads por semana. As operações do Stardust Chollima priorizam a geração de moeda e têm como alvo regular os detentores de criptomoedas.
Além disso, o adversário também realizou ataques generalizados à cadeia de suprimentos, afetando os repositórios npm e PyPi de empresas de fintech. Com base nesses fatores, a equipe de Operações de Combate a Adversários da CrowdStrike avalia que a motivação do adversário provavelmente está alinhada com esse objetivo de geração de moeda.
