O grupo ligado à Coreia do Norte, Lazarus Group, foi atribuído a uma nova campanha de ataque cibernético intitulada Operação 99, que visou desenvolvedores de software em busca de trabalho freelance em Web3 e criptomoedas para entregar malware.
"A campanha começa com recrutadores falsos, atuando em plataformas como o LinkedIn, atraindo desenvolvedores com testes de projetos e revisões de código", disse Ryan Sherstobitoff, vice-presidente sênior de Pesquisa de Ameaças e Inteligência da SecurityScorecard, em um novo relatório publicado hoje.
Uma vez que a vítima morde a isca, ela é direcionada a clonar um repositório malicioso do GitLab – aparentemente inofensivo, mas carregado de desastre.
O código clonado se conecta a servidores de comando e controle (C2), incorporando malware no ambiente da vítima.
Vítimas da campanha foram identificadas ao redor do mundo, com uma concentração significativa registrada na Itália.
Um número menor de vítimas impactadas se localiza na Argentina, Brasil, Egito, França, Alemanha, Índia, Indonésia, México, Paquistão, Filipinas, Reino Unido e EUA.
O nome da campanha é derivado dos artefatos maliciosos que têm identificadores de versão rotulados como "pay99".
A SecurityScorecard informou ao The Hacker News que, embora não tenha detalhes precisos da vitimologia, os atacantes conseguiram persuadir com sucesso os desenvolvedores visados a executar os conteúdos do repositório.
A empresa de cibersegurança disse que a campanha, que descobriu em 9 de janeiro de 2025, se baseia em táticas temáticas de trabalho previamente observadas em ataques do Lazarus, como a Operação Dream Job (também conhecida como NukeSped), para focar particularmente em desenvolvedores nos campos de Web3 e criptomoedas.
"Esta tática continua sendo eficaz porque os atores de ameaças da Coreia do Norte estão constantemente evoluindo seus métodos, tornando suas iscas temáticas de trabalho cada vez mais sofisticadas e autênticas", Sherstobitoff contou à publicação.
Alavancando avanços na tecnologia, como perfis gerados por IA e técnicas de comunicação realistas, eles conseguem criar cenários altamente convincentes que enganam até indivíduos vigilantes.
O aprimoramento contínuo dessas táticas aumenta sua capacidade de explorar a confiança e a curiosidade humanas.
O que torna a Operação 99 única é que ela seduz desenvolvedores com projetos de codificação como parte de um esquema de recrutamento elaborado que envolve a criação de perfis enganosos no LinkedIn, que são então usados para direcioná-los a repositórios GitLab fraudulentos.
O objetivo final dos ataques é implantar ferramentas de roubo de dados que são capazes de extrair código-fonte, segredos, chaves de carteiras de criptomoedas e outros dados sensíveis dos ambientes de desenvolvimento.
Isso inclui Main5346 e sua variante Main99, que serve como um downloader para três payloads adicionais.
Payload99/73 (e sua variante funcionalmente similar Payload5346), que coleta dados do sistema (por exemplo, arquivos e conteúdo da área de transferência), termina processos do navegador web, executa comandos arbitrários e estabelece uma conexão persistente com o servidor C2
Brow99/73, que rouba dados de navegadores web para facilitar o roubo de credenciais
MCLIP, que monitora e exfiltra a atividade do teclado e da área de transferência em tempo real
"Comprometendo contas de desenvolvedores, os atacantes não apenas exfiltram propriedade intelectual, mas também ganham acesso a carteiras de criptomoedas, possibilitando o roubo financeiro direto", disse a empresa.
O roubo direcionado de chaves privadas e secretas pode levar a milhões em ativos digitais roubados, avançando os objetivos financeiros do Lazarus Group.
A arquitetura do malware adota um design modular e é flexível, capaz de funcionar em sistemas operacionais Windows, macOS e Linux.
Isso também serve para destacar a natureza sempre evolutiva e adaptável das ameaças cibernéticas patrocinadas pelo estado.
"Para a Coreia do Norte, o hacking é uma fonte vital de geração de receita", disse Sherstobitoff.
O Lazarus Group consistentemente canalizou criptomoedas roubadas para alimentar as ambições do regime, acumulando somas impressionantes.
Com as indústrias de Web3 e criptomoeda em expansão, a Operação 99 mira nesses setores de alto crescimento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...