Hackers maliciosos usan proyectos de Next.js para engañar a programadores en entrevistas
Los ciberdelincuentes están fijando su objetivo en los desarrolladores mediante el uso de repositorios de Next.js maliciosos diseñados para ejecutar código de forma remota o REC, con el fin de establecer canales de comando y control, llamado C2, que son persistentes en máquinas infectadas.
Esta campaña está vinculada a las estafas de reclutamiento laboral falso, atribuidas a Corea del Norte. El gigante tecnológico Microsoft ha dado la voz de alarma sobre esta actividad específica, la cual distribuye repositorios maliciosos camuflados como proyectos legítimos de Next.js y materiales para evaluaciones técnicas de programación.
Investigadores de Microsoft Defender Experts y del equipo de Microsoft Defender Security Research, han descubierto diversos repositorios con troyanos que ofrecían diferentes rutas de ejecución para la entrega de un backdoor destinado a comprometer los sistemas de desarrolladores profesionales.
La campaña utiliza múltiples puntos de entrada que convergen en un mismo resultado final, es la recuperación en tiempo de ejecución y la ejecución local de JavaScript controlado por los ciberdelincuentes, lo que es transicional hacia un sistema de comando y control por etapas, según indica una publicación de blog publicada este martes por los dos equipos de seguridad especializados de Microsoft.
Sin atribuir específicamente la campaña a los norcoreanos de manera definitiva, los expertos han señalado que la actividad se alinea con un grupo más amplio de amenazas que emplean señuelos temáticos de empleo para mezclarse en los flujos de trabajos rutinarios de los programadores, y aumentar así la probabilidad de ejecución de código, un grupo asociado históricamente con el grupo Lazarus APT de Corea del Norte.
La publicación del blog incluye también enlaces a investigaciones de terceros de principios de este año, acerca de la actividad de los APT norcoreanos, vinculada al uso de Microsoft Visual Studio Code. De hecho, los delincuentes norcoreanos han estado apuntando de forma persistente a desarrolladores durante años.
Además, tientan a las víctimas con supuestas oportunidades laborales que, como parte de una entrevista laboral falsa, les piden participar en desafíos de desarrollo de muestras que entregan código malicioso directamente a las computadoras personales.
Esta campaña dirigida a desarrolladores muestra cómo un proyecto de entrevista, con temática de reclutamiento, puede convertirse rápidamente en una ruta confiable hacia la ejecución remota de código al mezclarse con flujos de trabajo habituales de los desarrolladores, como abrir un repositorio, ejecutar un servidor de desarrollo o iniciar un “backend”, afirmó la publicación en un blog de ciberseguridad.
Igualmente, el objetivo final de esta campaña es obtener ejecución en los sistemas de los desarrolladores, que a menudo contienen activos de alto valor, tales como el código fuente, secretos de entorno de producción y acceso directo a recursos de construcción o infraestructura en la nube, según el gigante tecnológico.
Del mismo modo, dicha campaña demuestra una vez más cómo los flujos de trabajo de los programadores representan una superficie de ataque primaria para el ciberespionaje y otras actividades que pueden conducir a un compromiso más profundo de toda la cadena de suministro, según lo explicado por los especialistas.
Los expertos han descubierto la campaña recientemente cuando Microsoft Defender marcó conexiones salientes sospechosas desde procesos de Node.js hacia una infraestructura controlada por hackers maliciosos, rastreando eventualmente la actividad hasta repositorios de Next.js que exhibían el mismo comportamiento malicioso.
