O ator de ameaças ligado à Coreia do Norte, avaliado como responsável pelo grande ataque ao Bybit em fevereiro de 2025, foi vinculado a uma campanha maliciosa que tem como alvo desenvolvedores para entregar um novo malware do tipo stealer sob o pretexto de um teste de programação.
A atividade foi atribuída pela Palo Alto Networks Unit 42 a um grupo de hacking que ela monitora como Slow Pisces, que também é conhecido como Jade Sleet, PUKCHONG, TraderTraitor e UNC4899.
"Slow Pisces interagiu com desenvolvedores de criptomoeda no LinkedIn, passando-se por potenciais empregadores e enviando malware disfarçado de desafios de programação", disse o pesquisador de segurança Prashil Pattni.
Esses desafios exigem que os desenvolvedores executem um projeto comprometido, infectando seus sistemas usando malware que nomeamos como RN Loader e RN Stealer.
Slow Pisces tem um histórico de mirar em desenvolvedores, tipicamente no setor de criptomoeda, abordando-os no LinkedIn como parte de uma suposta oportunidade de emprego e atraindo-os a abrir um documento PDF que detalha a tarefa de codificação hospedada no GitHub.
Em julho de 2023, o GitHub revelou que funcionários que trabalham em empresas de blockchain, criptomoeda, jogos de azar online e cibersegurança foram alvos isolados pelo ator de ameaça, enganando-os a executar pacotes npm maliciosos.
Então, em junho último, o Mandiant, pertencente ao Google, detalhou o modus operandi dos atacantes de, primeiro, enviar aos alvos no LinkedIn um documento PDF benigno contendo uma descrição de emprego para uma suposta oportunidade de trabalho e, em seguida, acompanhar com um questionário de habilidades, caso eles manifestem interesse.
O questionário incluía instruções para completar um desafio de programação baixando um projeto Python trojanizado do GitHub que, aparentemente capaz de visualizar preços de criptomoeda, foi projetado para contatar um servidor remoto para buscar um payload útil de segunda fase não especificada se certas condições fossem atendidas.
A cadeia de ataque em múltiplas etapas documentada pela Unit 42 segue a mesma abordagem, com o payload malicioso enviada apenas para alvos validados, provavelmente com base em endereço IP, geolocalização, hora e cabeçalhos de solicitação HTTP.
"Focar em indivíduos contatados via LinkedIn, ao invés de amplas campanhas de phishing, permite ao grupo controlar com precisão as etapas posteriores da campanha e entregar payloads úteis apenas para vítimas esperadas", disse Pattni.
Para evitar as funções suspeitas eval e exec, Slow Pisces usa a desserialização YAML para executar seu payload.
O payload é configurado para executar uma família de malware chamada RN Loader, que envia informações básicas sobre a máquina da vítima e o sistema operacional via HTTPS para o mesmo servidor e recebe e executa um blob codificado em Base64 na próxima etapa.
O malware recém-baixado é RN Stealer, um ladrão de informações capaz de colher informações sensíveis de sistemas Apple macOS infectados.
Isso inclui metadados do sistema, aplicativos instalados, listagem de diretórios e o conteúdo de nível superior do diretório home da vítima, iCloud Keychain, chaves SSH armazenadas e arquivos de configuração para AWS, Kubernetes e Google Cloud.
"O infostealer coleta informações mais detalhadas da vítima, que os atacantes provavelmente usaram para determinar se eles precisavam de acesso contínuo", disse a Unit 42.
Vítimas selecionadas que aplicam para um papel de JavaScript são igualmente instigadas a baixar um projeto "Painel de Criptomoedas" do GitHub que emprega uma estratégia semelhante, onde o servidor de comando e controle (C2) apenas fornece payloads adicionais quando os alvos atendem a certos critérios.
No entanto, a natureza exata do payload é desconhecida.
"O repositório utiliza a ferramenta de modelagem Embedded JavaScript (EJS), passando respostas do servidor C2 para a função ejs.render()", Pattni apontou.
Assim como o uso de yaml.load(), essa é outra técnica que Slow Pisces emprega para ocultar a execução de código arbitrário de seus servidores C2, e este método talvez seja aparente apenas ao visualizar uma carga útil válida.
Jade Sleet é apenas um entre os muitos clusters de atividades de ameaças norte-coreanas a aproveitar iscas de oportunidades de emprego como um vetor distribuidor de malware, os outros sendo Operação Emprego dos Sonhos, Entrevista Contagiosa e Alluring Pisces.
"Esses grupos não apresentam sobreposições operacionais. No entanto, essas campanhas fazendo uso de vetores de infecção iniciais semelhantes são notáveis", concluiu a Unit 42.
"Slow Pisces se destaca das campanhas de seus pares em segurança operacional.
A entrega de payloads em cada estágio é fortemente guardada, existindo apenas na memória.
E as ferramentas das etapas posteriores do grupo só são implantadas quando necessário."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...