A Microsoft egy nemrégiben történt, a Mastra AI ökoszisztémát érintő ellátásilánc-támadást az észak-koreai Sapphire Sleet nevű kiberbűnözői csoporthoz kötötte. A Sapphire Sleet (más néven BlueNoroff) a támadás során több mint 140 npm-csomagot kompromittált.
Az attribúcióra azt követően került sor, hogy a Microsoft a hét elején nyilvánosságra hozta: a támadók eltérítettek egy npm-karbantartói fiókot, amelyet rosszindulatú csomagfrissítések közzétételére használtak fel.
A vállalat június 19-i közleménye szerint „a Microsoft nagy bizonyossággal úgy értékeli, hogy a tevékenység a Sapphire Sleethez köthető, amely egy olyan észak-koreai állami támogatással működő fenyegető szereplő, amely elsősorban a pénzügyi szektort veszi célba”.
A Microsoft vizsgálata alapján a támadás akkor kezdődött, amikor a fenyegető szereplők kompromittálták az „ehindero” nevű npm-karbantartói fiókot, amely publikálási jogosultságokkal rendelkezett a Mastra csomagkörnyezetében.
A hozzáférés megszerzését követően a támadók több mint 140, a @mastra névtérbe tartozó csomaghoz tettek közzé rosszindulatú frissítéseket. Ezek a frissítések egy „easy-day-js” nevű kártékony függőséget (dependency) injektáltak a csomagokba. Az easy-day-js egy úgynevezett typosquatting technikával létrehozott csomag, amely a legitim és széles körben használt dayjs JavaScript-könyvtár nevére hasonlít, így könnyen megtévesztheti a fejlesztőket.
Amikor a kompromittált csomagok telepítésre kerültek, a rosszindulatú függőség egy telepítés utáni (post-install) folyamatot indított el, amely egy malware droppert telepített a fejlesztők eszközeire. A támadás végső célja érzékeny hitelesítő adatok, API-kulcsok, autentikációs tokenek és kriptovaluta-tárcákhoz kapcsolódó információk eltulajdonítása volt.
A Microsoft magyarázata szerint az easy-day-js telepítését követően egy postinstall hook futott le, amely egy obfuszkált dropper szkriptet hajtott végre. Ez a kód letiltotta a TLS-tanúsítványok ellenőrzését, kapcsolatba lépett a támadók által üzemeltetett C2-szerverekkel, letöltött egy második fázisú kártevő-komponenst, majd azt egy rejtett, leválasztott folyamatként futtatta.
A letöltött második fázisú komponens egy többplatformos információlopó (information stealer) malware volt, amely Windows, Linux és macOS rendszereket egyaránt célba vett.
A kártevő részletes információkat gyűjtött az áldozat rendszeréről, beleértve a böngészési előzményeket, a telepített alkalmazásokat és a futó folyamatokat. Emellett ellenőrizte, hogy jelen van-e a böngészőben valamelyik a 166 támogatott kriptovaluta-tárca-bővítmény közül. A célzott bővítmények között szerepelt többek között a MetaMask, a Phantom, a Coinbase Wallet, a Binance Wallet és a TronLink.
A malware az operációs rendszertől függően eltérő perzisztencia-mechanizmusokat alkalmazott a tartós jelenlét biztosítására. Windows rendszereken Registry Run kulcsokat, macOS alatt LaunchAgenteket, Linux környezetben pedig systemd szolgáltatásokat használt.
A Microsoft szerint azoknál a rendszereknél, amelyek kapcsolatba léptek a támadók C2-infrastruktúrájával, további olyan műveleteket is megfigyeltek, amelyek korábbi Sapphire Sleet kampányokból már ismert technikákat alkalmaztak.
Ezek közé tartozott egy, a csoport által korábban is használt PowerShell-alapú backdoor telepítése, további perzisztencia-mechanizmusok létrehozása, a Microsoft Defender védelmi kivételeinek konfigurálása, valamint egy olyan rosszindulatú Windows-szolgáltatás telepítése, amely SYSTEM szintű jogosultságokat biztosított.
A Microsoft kiemelte, hogy a PowerShell backdoor, az alkalmazott támadási módszerek (tradecraft) és a használt C2-infrastruktúra egyaránt összhangban állnak a Sapphire Sleet korábbi műveleteiben megfigyelt mintázatokkal.

