Plataforma de hospedagem de código fonte e arquivos chama atenção para uma campanha de engenharia social direcionada às contas de desenvolvedores
O GitHub está alertando sobre uma campanha de engenharia social direcionada às contas de desenvolvedores dos setores de blockchain, criptomoeda, jogos de azar online e segurança cibernética para infectar seus dispositivos com malware.
A campanha vem sendo executada pelo grupo de hackers Lazarus, patrocinado pelo governo norte-coreano, também conhecido como Jade Sleet, conforme foi identificado pela equipe da Microsoft Threat Intelligence, e como TraderTraitor, como definido pela Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA. O governo dos EUA divulgou um relatório em 2022 detalhando as táticas dos operadores da ameaça.
O grupo de hackers tem um longo histórico de segmentação de empresas de criptomoedas e pesquisadores de segurança cibernética para espionagem cibernética e roubo de criptomoedas.
Em um novo alerta de segurança, o GitHub alerta que o Lazarus Group está comprometendo contas legítimas ou criando personas falsas que fingem ser desenvolvedores e recrutadores na plataforma de hospedagem de código fonte e arquivos e nas mídias sociais.
“O GitHub identificou uma campanha de engenharia social de baixo volume que visa contas pessoais de funcionários de empresas de tecnologia, usando uma combinação de convites de repositório e dependências de pacotes npm maliciosos”, explicou o alerta de segurança.
Essas personas são usadas para entrar em contato e iniciar conversas com desenvolvedores e funcionários nos setores de criptomoeda, jogos de azar online e segurança cibernética. Essas conversas geralmente levam a outra plataforma, que em campanhas anteriores era o WhatsApp.
Depois de conquistar a confiança dos alvos, os operadores da ameaça os convidam a colaborar em um projeto e clonar um repositório GitHub com temas relacionados a reprodutores de mídia e ferramentas de negociação de criptomoedas. No entanto, o GitHub diz que esses projetos utilizam dependências NPM maliciosas que baixam outros malwares para os dispositivos dos alvos. NPM é o gerenciador de pacotes do Node (Node Package Manager), amplamente usado por desenvolvedores JavaScript para compartilhar ferramentas.
Embora o GitHub tenha compartilhado apenas que os pacotes NPM maliciosos atuam como um downloader de malware de primeiro estágio, a plataforma faz referência a um relatório de junho da Phylum que dá mais detalhes sobre os NPM maliciosos.
De acordo com a Phylum, os NPMs agem como downloaders de malware que se conectam a sites remotos para cargas adicionais a serem executadas na máquina infectada. Infelizmente, os pesquisadores da empresa não puderam receber as cargas de segundo estágio para ver o malware final entregue ao dispositivo e analisar o comportamento malicioso executado.
“Seja qual for o motivo, é certo que este é o trabalho de um ator de ameaça da cadeia de suprimentos razoavelmente sofisticado”, concluíram os pesquisadores da Phylum. “Esse ataque em particular se destaca devido aos requisitos exclusivos da cadeia de execução: uma ordem de instalação específica de dois pacotes distintos na mesma máquina.” Segundo a empresa, os supostos componentes maliciosos são mantidos fora de vista, armazenados em seus servidores e são despachados dinamicamente durante a execução.
O GitHub diz que suspendeu todas as contas NPM e GitHub e publicou uma lista completa de indicadores sobre domínios, contas GitHub e pacotes NPM associados à campanha. A plataforma também enfatiza que nenhum sistema GitHub ou NPM foi comprometido durante a campanha.
A campanha é semelhante a uma outra do Lazarus em janeiro de 2021, quando os operadores de ameaças visaram pesquisadores de segurança em ataques de engenharia social usando personas de mídia social falsas elaboradas de “pesquisadores de segurança” para infectar alvos com malware.
Isso foi feito convencendo os pesquisadores a colaborar no desenvolvimento de vulnerabilidades, distribuindo projetos maliciosos do Visual Studio para supostos exploits de vulnerabilidade que instalavam um backdoor personalizado.
Uma campanha semelhante foi realizada em março de 2021, quando os hackers criaram um site para uma empresa falsa chamada SecuriElite para infectar pesquisadores com malware.
Os hackers norte-coreanos têm uma longa história de atacar empresas e desenvolvedores de criptomoedas para roubar ativos para financiar as iniciativas de seu país. O Lazarus começou a visar usuários de criptomoedas espalhando carteiras de criptomoedas trojanizadas e aplicativos de negociação para roubar as carteiras de criptomoedas dos usuários e os fundos dentro delas.
Em abril do ano passado, o Tesouro dos EUA e o FBI vincularam o grupo ao roubo de mais de US$ 617 milhões em tokens Ethereum e USDC do jogo baseado em blockchain Axie Infinity.
FONTE: CISO ADVISOR