Специалисты GitHub обнаружили кампанию, направленную на учетные записи разработчиков, которые работают в сферах блокчейна, криптовалюты, азартных игр и кибербезопасности. Северокорейская группировка Lazarus атакует их, используя социальную инженерию, и стремится заразить их устройства вредоносным ПО.
GitHub предупреждает, что для этих атак Lazarus компрометирует реально существующие аккаунты или создает новые поддельные личности, выдавая себя за разработчиков или рекрутеров на GitHub и в социальных сетях.
«GitHub выявил малообъемную кампанию социальной инженерии, направленную на личные учетные записи сотрудников технологических компаний, в рамках которой используется комбинация приглашений в репозитории и вредоносных зависимостей пакетов npm», — пишут в GitHub.
Фальшивые личности хакеров используются чтобы завязать беседу с целевыми пользователями. Обычно в итоге такие разговоры приводят к переходу на другую платформу (в прошлых кампаниях хакеров это был мессенджер WhatsApp).
Установив доверительные отношения с жертвой, злоумышленники приглашают ее к сотрудничеству над неким проектом, для чего клонируют репозиторий GitHub, посвященный медиаплеерам и инструментам для торговли криптовалютами. По словам представителей GitHub, в таких проектах используются вредоносные npm-зависимости, которые в итоге загружают на устройства жертв вредоносное ПО.
Сообщается, что вредоносные пакеты npm выступают лишь в качестве загрузчика для малвари. Специалисты ссылаются на июньский отчет компании Phylum, в котором более подробно описываются такие вредоносные пакеты.
По данным Phylum, пакеты npm выступают в роли загрузчиков, которые подключаются к удаленным сайтам для получения дополнительных полезных нагрузок. К сожалению, исследователи не смогли изучить сам пейлоад второго этапа атаки и заполучить окончательный вариант малвари, доставляемой на устройство.
«Какова бы ни была причина, можно с уверенностью сказать, что это работа подготовленного преступника, нацеленная на цепочку поставок, — говорят в Phylum. — Данная атака отличается уникальными требованиями к цепочке выполнения: нужен определенный порядок установки двух разных пакетов на одну и ту же машину. Кроме того, вредоносные компоненты скрыты, хранятся на серверах хакеров и динамически рассылаются в процессе выполнения».
В GitHub заявляют, что уже приостановили работу всех учетных записей npm и GitHub, связанных с этими атаками, а также опубликовали полный список индикаторов компрометации, включая домены и учетные записи, связанные с атаками.
В компании подчеркивает, что ни одна система GitHub или npm не была скомпрометирована в ходе этой кампании.