Το GitHub προειδοποιεί ότι οι χάκερ της Lazarus στοχεύουν προγραμματιστές με κακόβουλα έργα
Το GitHub προειδοποιεί για μια καμπάνια κοινωνικής μηχανικής που στοχεύει τους λογαριασμούς προγραμματιστών στους τομείς του
blockchain
, των κρυπτονομισμάτων, του διαδικτυακού τζόγου και της ασφάλειας στον κυβερνοχώρο για να μολύνει τις συσκευές τους με κακόβουλο λογισμικό.
Η εκστρατεία συνδέθηκε με την ομάδα χάκερ Lazarus που χρηματοδοτείται από το κράτος της Βόρειας Κορέας, γνωστή και ως Jade Sleet (
Microsoft
Threat Intelligence) και TraderTraitor (CISA). ο
Η αμερικανική κυβέρνηση δημοσίευσε μια έκθεση
το 2022 περιγράφοντας λεπτομερώς τις τακτικές των παραγόντων απειλών.
Η ομάδα
hacking
έχει μακρά ιστορία στόχευσης εταιρειών κρυπτονομισμάτων και ερευνητών κυβερνοασφάλειας με σκοπό την κυβερνοκατασκοπεία και την κλοπή κρυπτονομισμάτων.
Στόχευση προγραμματιστών με κακόβουλο λογισμικό
Σε μια νέα ειδοποίηση ασφαλείας, το GitHub προειδοποιεί ότι ο Όμιλος Lazarus θέτει σε κίνδυνο τους νόμιμους λογαριασμούς ή δημιουργεί πλαστά πρόσωπα που προσποιούνται ότι είναι προγραμματιστές και στρατολόγοι στο GitHub και στα μέσα κοινωνικής δικτύωσης.
«Το GitHub εντόπισε μια χαμηλού όγκου καμπάνια κοινωνικής μηχανικής που στοχεύει τους προσωπικούς λογαριασμούς εργαζομένων εταιρειών τεχνολογίας, χρησιμοποιώντας έναν συνδυασμό προσκλήσεων αποθετηρίου και κακόβουλων εξαρτήσεων πακέτων npm», εξήγησε το GitHub.
ειδοποίηση ασφαλείας
.
Αυτά τα πρόσωπα χρησιμοποιούνται για την επαφή και την έναρξη συνομιλιών με προγραμματιστές και υπαλλήλους στους κλάδους των κρυπτονομισμάτων, του διαδικτυακού τζόγου και της ασφάλειας στον κυβερνοχώρο. Αυτές οι συνομιλίες συνήθως οδηγούν σε μια άλλη πλατφόρμα, η οποία σε προηγούμενες καμπάνιες ήταν το
WhatsApp
.
Αφού δημιουργήσουν εμπιστοσύνη με τον στόχο, οι φορείς απειλών τους προσκαλούν να συνεργαστούν σε ένα έργο και να κλωνοποιήσουν ένα αποθετήριο GitHub με θέμα τα προγράμματα αναπαραγωγής πολυμέσων και τα εργαλεία συναλλαγών κρυπτονομισμάτων.
Ωστόσο, το GitHub λέει ότι αυτά τα έργα χρησιμοποιούν κακόβουλες εξαρτήσεις NPM που κατεβάζουν περαιτέρω κακόβουλο λογισμικό στις συσκευές των στόχων.
Ενώ το GitHub μοιράστηκε μόνο ότι τα κακόβουλα πακέτα NPM λειτουργούν ως πρόγραμμα λήψης κακόβουλου λογισμικού πρώτου σταδίου, αναφέρθηκε σε ένα
Έκθεση Ιουνίου από το Phylum
αυτό γίνεται με περισσότερες λεπτομέρειες σχετικά με τα κακόβουλα NPM.
Σύμφωνα με το Phylum, τα NPM λειτουργούν ως προγράμματα λήψης κακόβουλου λογισμικού που συνδέονται με απομακρυσμένους ιστότοπους για να εκτελεστούν πρόσθετα ωφέλιμα φορτία στο μολυσμένο μηχάνημα.
Λήψη ωφέλιμου φορτίου δεύτερου σταδίου από απομακρυσμένο ιστότοπο
Πηγή: Phylum
Δυστυχώς, οι ερευνητές του Phylum δεν μπόρεσαν να λάβουν τα ωφέλιμα φορτία δεύτερου σταδίου για να δουν το τελικό κακόβουλο λογισμικό που παραδόθηκε στη συσκευή και να αναλύσουν την εκτελεσθείσα κακόβουλη συμπεριφορά.
«Όποιος κι αν είναι ο λόγος, είναι βέβαιο ότι αυτό είναι έργο ενός λογικά εξελιγμένου παράγοντα απειλής της εφοδιαστικής αλυσίδας», κατέληξαν οι ερευνητές του Phylum.
“Αυτή η επίθεση ξεχωρίζει ιδιαίτερα λόγω των μοναδικών απαιτήσεων της αλυσίδας εκτέλεσης: μια συγκεκριμένη σειρά εγκατάστασης δύο ξεχωριστών πακέτων στο ίδιο μηχάνημα.”
“Επιπλέον, τα εικαζόμενα κακόβουλα στοιχεία δεν φαίνονται, αποθηκεύονται στους διακομιστές τους και αποστέλλονται δυναμικά κατά την εκτέλεση.”
Το GitHub λέει ότι έχει αναστείλει όλους τους λογαριασμούς NPM και GitHub και έχει δημοσιεύσει ένα
πλήρης κατάλογος δεικτών
σχετικά με τους τομείς, τους λογαριασμούς GitHub και τα πακέτα NPM που σχετίζονται με την καμπάνια.
Η εταιρεία τονίζει επίσης ότι κανένα σύστημα GitHub ή npm δεν παραβιάστηκε κατά τη διάρκεια αυτής της καμπάνιας.
Αυτή η καμπάνια είναι παρόμοια με μια εκστρατεία Lazarus τον Ιανουάριο του 2021, όταν οι παράγοντες απειλών στόχευσαν ερευνητές ασφάλειας σε επιθέσεις κοινωνικής μηχανικής χρησιμοποιώντας περίτεχνα πλαστά πρόσωπα κοινωνικών μέσων “ερευνητές ασφαλείας” για να μολύνουν στόχους με κακόβουλο λογισμικό.
Αυτό έγινε πείθοντας τους ερευνητές να συνεργαστούν για την ανάπτυξη ευπάθειας, διανέμοντας κακόβουλα έργα του Visual Studio για υποτιθέμενες εκμεταλλεύσεις ευπάθειας που εγκατέστησαν μια προσαρμοσμένη κερκόπορτα.
Μια παρόμοια εκστρατεία διεξήχθη τον Μάρτιο του 2021 όταν οι χάκερ δημιούργησαν έναν ιστότοπο για μια ψεύτικη εταιρεία με το όνομα
SecuriElite
να μολύνει ερευνητές με κακόβουλο λογισμικό.
Άλλες προηγούμενες επιθέσεις του Λαζάρου
Οι βορειοκορεάτες χάκερ έχουν μακρά ιστορία στόχευσης εταιρειών και προγραμματιστών κρυπτονομισμάτων για να κλέψουν περιουσιακά στοιχεία για να χρηματοδοτήσουν τις πρωτοβουλίες της χώρας τους.
Ο Lazarus άρχισε να στοχεύει χρήστες κρυπτονομισμάτων διαδίδοντας τρωανισμένα πορτοφόλια κρυπτονομισμάτων και εμπορικές εφαρμογές για να κλέψει τα κρυπτογραφικά πορτοφόλια των χρηστών και τα κεφάλαια μέσα σε αυτά.
Τον Απρίλιο του 2022, το Υπουργείο Οικονομικών των ΗΠΑ και το FBI συνέδεσαν τον όμιλο Lazarus με την κλοπή μάρκων
Ethereum
και USDC αξίας άνω των 617 εκατομμυρίων δολαρίων από το παιχνίδι που βασίζεται σε blockchain Axie Infinity.
Αργότερα αποκαλύφθηκε ότι οι παράγοντες της απειλής έστειλαν ένα κακόβουλο δεμένο αρχείο PDF προσποιούμενος ότι ήταν μια προσοδοφόρα προσφορά εργασίας σε έναν από τους μηχανικούς του blockchain ως μέρος αυτής της επίθεσης.
Η χρήση ψεύτικων ευκαιριών απασχόλησης για την παράδοση κακόβουλου λογισμικού χρησιμοποιήθηκε επίσης σε μια καμπάνια του 2020 που ονομάζεται “
Λειτουργία Dream Job
που στόχευε υπαλλήλους σε εξέχουσες εταιρείες άμυνας και αεροδιαστημικής στις ΗΠΑ.
