Специалисты GitHub обнаружили кампанию, направленную на учетные записи разработчиков, которые работают в сферах  блокчейна, криптовалюты, азартных игр и кибербезопасности. Северокорейская группировка Lazarus атакует их, используя социальную инженерию, и стремится заразить их устройства вредоносным ПО.

GitHub предупреждает, что для этих атак Lazarus компрометирует реально существующие аккаунты или создает новые поддельные личности, выдавая себя за разработчиков или рекрутеров на GitHub и в социальных сетях.

«GitHub выявил малообъемную кампанию социальной инженерии, направленную на личные учетные записи сотрудников технологических компаний, в рамках которой используется комбинация приглашений в репозитории и вредоносных зависимостей пакетов npm», — пишут в GitHub.

Фальшивые личности хакеров используются чтобы завязать беседу с целевыми пользователями. Обычно в итоге такие разговоры приводят к переходу на другую платформу (в прошлых кампаниях хакеров это был мессенджер WhatsApp).

Установив доверительные отношения с жертвой, злоумышленники приглашают ее к сотрудничеству над неким проектом, для чего клонируют репозиторий GitHub, посвященный медиаплеерам и инструментам для торговли криптовалютами. По словам представителей GitHub, в таких проектах используются вредоносные npm-зависимости, которые в итоге загружают на устройства жертв вредоносное ПО.

Сообщается, что вредоносные пакеты npm выступают лишь в качестве загрузчика для малвари. Специалисты ссылаются на июньский отчет компании Phylum, в котором более подробно описываются такие вредоносные пакеты.

По данным Phylum, пакеты npm выступают в роли загрузчиков, которые подключаются к удаленным сайтам для получения дополнительных полезных нагрузок. К сожалению, исследователи не смогли изучить сам пейлоад второго этапа атаки и заполучить окончательный вариант малвари, доставляемой на устройство.

Загрузка малвари второго этапа

«Какова бы ни была причина, можно с уверенностью сказать, что это работа подготовленного преступника, нацеленная на цепочку поставок, — говорят в Phylum. — Данная атака отличается уникальными требованиями к цепочке выполнения: нужен определенный порядок установки двух разных пакетов на одну и ту же машину. Кроме того, вредоносные компоненты скрыты, хранятся на серверах хакеров и динамически рассылаются в процессе выполнения».

В GitHub заявляют, что уже приостановили работу всех учетных записей npm и GitHub, связанных с этими атаками, а также опубликовали полный список индикаторов компрометации, включая домены и учетные записи, связанные с атаками.

В компании подчеркивает, что ни одна система GitHub или npm не была скомпрометирована в ходе этой кампании.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии