Em um alerta recente, o GitHub diz que hackers do Lazarus fingem ser desenvolvedores e recrutadores no GitHub e nas mídias sociais.
O GitHub está alertando sobre uma campanha de engenharia social direcionada às contas de desenvolvedores nos setores de blockchain, criptomoeda, jogos de azar online e segurança cibernética para infectar seus dispositivos com malware.
GitHub diz que hackers do Lazarus fingem ser desenvolvedores
A campanha estava ligada ao grupo de hackers Lazarus, patrocinado pelo estado norte-coreano, também conhecido como Jade Sleet (Microsoft Threat Intelligence) e TraderTraitor (CISA). O governo dos EUA divulgou um relatório em 2022 detalhando as táticas dos atores da ameaça.
Esse grupo de hackers tem um longo histórico de segmentação de empresas de criptomoedas e pesquisadores de segurança cibernética para espionagem cibernética e roubo de criptomoedas.
Em um novo alerta de segurança, o GitHub alerta que o Lazarus Group está comprometendo contas legítimas ou criando personas falsas que fingem ser desenvolvedores e recrutadores no GitHub e nas mídias sociais.
“O GitHub identificou uma campanha de engenharia social de baixo volume que visa contas pessoais de funcionários de empresas de tecnologia, usando uma combinação de convites de repositório e dependências de pacotes npm maliciosos”, explicou o alerta de segurança do GitHub.
Essas personas são usadas para entrar em contato e iniciar conversas com desenvolvedores e funcionários nos setores de criptomoeda, jogos de azar online e segurança cibernética. Essas conversas geralmente levam a outra plataforma, que em campanhas anteriores era o WhatsApp.
Depois de estabelecer a confiança com o alvo, os agentes da ameaça os convidam a colaborar em um projeto e clonar um repositório GitHub com temas relacionados a reprodutores de mídia e ferramentas de negociação de criptomoedas.
No entanto, o GitHub diz que esses projetos utilizam dependências NPM maliciosas que baixam outros malwares para os dispositivos dos alvos.
Embora o GitHub tenha compartilhado apenas que os pacotes NPM maliciosos atuam como um downloader de malware de primeiro estágio, eles fizeram referência a um relatório de junho da Phylum que dá mais detalhes sobre os NPMs maliciosos.
De acordo com a Phylum, os NPMs agem como downloaders de malware que se conectam a sites remotos para cargas adicionais a serem executadas na máquina infectada.
Infelizmente, os pesquisadores do Phylum não puderam receber as cargas de segundo estágio para ver o malware final entregue ao dispositivo e analisar o comportamento malicioso executado.
“Seja qual for o motivo, é certo que este é o trabalho de um ator de ameaça da cadeia de suprimentos razoavelmente sofisticado”, concluíram os pesquisadores do Phylum.
“Este ataque em particular se destaca devido aos requisitos exclusivos da cadeia de execução: uma ordem de instalação específica de dois pacotes distintos na mesma máquina.”
“Além disso, os supostos componentes maliciosos são mantidos fora de vista, armazenados em seus servidores e são despachados dinamicamente durante a execução.”
O GitHub diz que suspendeu todas as contas NPM e GitHub e publicou uma lista completa de indicadores sobre domínios, contas GitHub e pacotes NPM associados à campanha.
A empresa também enfatiza que nenhum sistema GitHub ou npm foi comprometido durante esta campanha.
Essa campanha é semelhante a uma campanha do Lazarus em janeiro de 2021, quando os agentes de ameaças visaram pesquisadores de segurança em ataques de engenharia social usando personas de mídia social falsas elaboradas de “pesquisadores de segurança” para infectar alvos com malware.
Isso foi feito convencendo os pesquisadores a colaborar no desenvolvimento de vulnerabilidades, distribuindo projetos maliciosos do Visual Studio para supostos exploits de vulnerabilidade que instalavam um backdoor personalizado.
Uma campanha semelhante foi realizada em março de 2021, quando os hackers criaram um site para uma empresa falsa chamada SecuriElite para infectar pesquisadores com malware.
Os hackers norte-coreanos têm uma longa história de atacar empresas e desenvolvedores de criptomoedas para roubar ativos para financiar as iniciativas de seu país.
A Lazarus começou a visar usuários de criptomoedas espalhando carteiras de criptomoedas trojanizadas e aplicativos de negociação para roubar as carteiras de criptomoedas dos usuários e os fundos dentro delas.
Em abril de 2022, o Tesouro dos EUA e o FBI vincularam o grupo Lazarus ao roubo de mais de $ 617 milhões em tokens Ethereum e USDC do jogo baseado em blockchain Axie Infinity.
Posteriormente, foi divulgado que os agentes da ameaça enviaram um arquivo PDF malicioso fingindo ser uma oferta de trabalho lucrativa para um dos engenheiros do blockchain como parte desse ataque.