O GitHub está alertando sobre uma campanha de engenharia social direcionada às contas de desenvolvedores no setor de blockchain, criptomoedas, jogos online e segurança cibernética para infectar seus dispositivos com malware.
A campanha foi vinculada ao grupo de hackers patrocinado pelo estado norte-coreano Lazarus, também conhecido como Jade Sleet (Microsoft Threat Intelligence) e TraderTraitor (CISA).
O governo dos EUA divulgou um relatório em 2022 detalhando as táticas dos agentes de ameaças.
O grupo de hackers tem um longo histórico de direcionar empresas de criptomoedas e pesquisadores de segurança cibernética para espionagem cibernética e roubo de criptomoedas.
Em um novo alerta de segurança, o GitHub avisa que o Grupo Lazarus está comprometendo contas legítimas ou criando falsas personagens que se passam por desenvolvedores e recrutadores no GitHub e nas redes sociais.
"O GitHub identificou uma campanha de engenharia social de baixo volume que visa as contas pessoais de funcionários de empresas de tecnologia, usando uma combinação de convites para repositórios e dependências de pacotes npm maliciosos", explicou o alerta de segurança do GitHub.
Estas personagens são usadas para entrar em contato e iniciar conversas com desenvolvedores e funcionários dos setores de criptomoedas, jogos online e segurança cibernética.
Essas conversas geralmente levam a outra plataforma, que em campanhas passadas era o WhatsApp.
Após estabelecer confiança com o alvo, os agentes de ameaças os convidam para colaborar em um projeto e clonar um repositório do GitHub com temas de players de mídia e ferramentas de negociação de criptomoedas.
No entanto, o GitHub diz que esses projetos utilizam dependências NPM maliciosas que baixam mais malwares para os dispositivos dos alvos.
Enquanto o GitHub apenas compartilhou que os pacotes NPM maliciosos atuam como um downloader de malware de primeira etapa, eles referenciaram um relatório de junho da Phylum que entra em mais detalhes sobre os NPMs maliciosos.
De acordo com a Phylum, os NPMs atuam como downloaders de malware que se conectam a sites remotos para payloads adicionais a serem executados na máquina infectada.
Infelizmente, os pesquisadores da Phylum não puderam receber os payloads de segunda etapa para ter o malware final entregue ao dispositivo e analisar o comportamento malicioso executado.
"Qualquer que seja a razão, é certo que este é o trabalho de um ator de ameaça de cadeia de suprimentos razoavelmente sofisticado", concluíram os pesquisadores da Phylum.
"Este ataque em particular se destaca devido aos seus requisitos únicos de cadeia de execução: uma ordem de instalação específica de dois pacotes distintos na mesma máquina."
"Além disso, os supostos componentes maliciosos são mantidos fora da vista, armazenados em seus servidores e despachados dinamicamente durante a execução."
O GitHub afirma que suspendeu todas as contas NPM e GitHub e publicou uma lista completa de indicadores referentes aos domínios, contas GitHub e pacotes NPM associados à campanha.
A empresa também enfatiza que nenhum sistema GitHub ou npm foi comprometido durante esta campanha.
Esta campanha é semelhante a uma campanha do Lazarus em janeiro de 2021, quando os agentes de ameaças miraram pesquisadores de segurança em ataques de engenharia social usando elaboradas falsas personas de "pesquisador de segurança" nas redes sociais para infectar alvos com malware.
Isso foi feito convencendo os pesquisadores a colaborar no desenvolvimento de vulnerabilidades distribuindo projetos maliciosos do Visual Studio para supostos exploits de vulnerabilidades que instalaram uma backdoor personalizada.
Uma campanha semelhante foi conduzida em março de 2021, quando os hackers criaram um site para uma empresa fictícia chamada SecuriElite para infectar pesquisadores com malware.
Hackers norte-coreanos têm um longo histórico de mirar empresas de criptomoedas e desenvolvedores para roubar ativos para financiar as iniciativas de seu país.
Lazarus começou a mirar usuários de criptomoedas espalhando carteiras de criptomoedas trojanizadas e aplicativos de negociação para roubar carteiras de cripto dos usuários e os fundos dentro delas.
Em abril de 2022, o Departamento do Tesouro dos EUA e o FBI vincularam o grupo Lazarus ao roubo de mais de 617 milhões de dólares de tokens Ethereum e USDC do jogo baseado em blockchain Axie Infinity.
Foi posteriormente revelado que os agentes de ameaças enviaram um arquivo PDF malicioso fingindo ser uma oferta de emprego lucrativa para um dos engenheiros do blockchain como parte deste ataque.
O uso de falsas oportunidades de emprego para entregar malware também foi usado em uma campanha de 2020 chamada "Operação Emprego dos Sonhos" que visava funcionários de empresas de defesa e aeroespaciais proeminentes dos EUA.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...