Github, cihazlarını kötü amaçlı yazılımlarla enfekte etmek için blockchain, kripto para birimi, çevrimiçi kumar ve siber güvenlik sektörlerindeki geliştiricilerin hesaplarını hedefleyen bir sosyal mühendislik kampanyası uyarınca uyarıyor.
Kampanya, Jade Sleet (Microsoft Tehdit İstihbaratı) ve TraderTraitor (CISA) olarak da bilinen Kuzey Kore devlet destekli Lazarus Hacking Group ile bağlantılıydı. ABD hükümeti 2022'de tehdit aktörlerinin taktiklerini detaylandıran bir rapor yayınladı.
Hacking grubu, kripto para birimi şirketlerini ve siber güvenlik araştırmacılarını siber boyama ve kripto para birimini çalmak için hedefleme konusunda uzun bir geçmişe sahiptir.
Yeni bir güvenlik uyarısında Github, Lazarus Group'un meşru hesaplardan ödün verdiği veya GitHub ve sosyal medyada geliştirici ve işe alım yapan gibi sahte kişiler yarattığı konusunda uyarıyor.
GitHub Güvenlik Uyarısı, "Github, teknoloji firmalarının çalışanlarının kişisel hesaplarını hedefleyen düşük hacimli bir sosyal mühendislik kampanyası belirledi ve depo davetiyeleri ve kötü amaçlı NPM paket bağımlılıkları bir kombinasyonu kullandı."
Bu kişiler, kripto para birimi, çevrimiçi kumar ve siber güvenlik endüstrilerindeki geliştiriciler ve çalışanlarla görüşmelerle iletişim kurmak ve başlatmak için kullanılır. Bu konuşmalar genellikle geçmiş kampanyalarda WhatsApp olan başka bir platforma yol açıyor.
Hedefle güven oluşturduktan sonra, tehdit aktörleri onları bir proje üzerinde işbirliği yapmaya ve medya oyuncuları ve kripto para ticaret araçları etrafında temalı bir GitHub deposunu klonlamaya davet ediyor.
Ancak Github, bu projelerin hedeflerin cihazlarına daha fazla kötü amaçlı yazılım indiren kötü niyetli NPM bağımlılıkları kullandığını söylüyor.
GitHub yalnızca kötü amaçlı NPM paketlerinin birinci aşamalı bir kötü amaçlı yazılım indiricisi olarak hareket ettiğini paylaşırken, Phylum tarafından kötü niyetli NPM'ler hakkında daha fazla ayrıntıya giren bir Haziran raporuna atıfta bulundular.
Phylum'a göre, NPMS, enfekte olmuş makinede yürütülmesi için ek yükler için uzak sitelere bağlanan kötü amaçlı yazılım indiricileri olarak hareket eder.
Ne yazık ki, Phylum araştırmacıları, cihaza teslim edilen son kötü amaçlı yazılımları görmek ve yürütülen kötü davranışı analiz etmek için ikinci aşamalı yükleri alamadı.
Phylum araştırmacıları, "Sebep ne olursa olsun, bunun makul derecede sofistike bir tedarik zinciri tehdit oyuncusu çalışması olduğu kesin."
"Özellikle bu saldırı benzersiz yürütme zinciri gereksinimleri nedeniyle öne çıkıyor: aynı makinedeki iki farklı paketin belirli bir kurulum sırası."
"Ayrıca, varsayılan kötü niyetli bileşenler gözden uzak tutulur, sunucularında saklanır ve yürütme sırasında dinamik olarak gönderilir."
Github, tüm NPM ve GitHub hesaplarını askıya aldıklarını ve kampanya ile ilişkili alanlar, GitHub hesapları ve NPM paketleri ile ilgili göstergelerin tam bir listesini yayınladıklarını söylüyor.
Şirket ayrıca bu kampanya sırasında hiçbir GitHub veya NPM sisteminin tehlikeye atılmadığını vurgulamaktadır.
Bu kampanya, tehdit aktörlerinin, hedefleri kötü amaçlı yazılımlarla enfekte etmek için ayrıntılı sahte "güvenlik araştırmacısı" sosyal medya kişilerini kullanarak sosyal mühendislik saldırılarında güvenlik araştırmacılarını hedefledikleri Ocak 2021'deki bir Lazarus kampanyasına benzer.
Bu, araştırmacıları, özel bir arka kapı kuran güvenlik açığı istismarları için kötü niyetli görsel stüdyo projeleri dağıtarak güvenlik açığı gelişimi üzerinde işbirliği yapmaya ikna ederek yapıldı.
Benzer bir kampanya Mart 2021'de, bilgisayar korsanlarının araştırmacıları kötü amaçlı yazılımlarla enfekte etmek için Securielite adlı sahte bir şirket için bir web sitesi oluşturduğu zaman gerçekleştirildi.
Kuzey Koreli bilgisayar korsanları, ülkelerinin girişimlerini finanse etmek için varlıkları çalmak için kripto para şirketlerini ve geliştiricileri hedefleme konusunda uzun bir geçmişe sahiptir.
Lazarus, kullanıcıların kripto cüzdanlarını ve içlerindeki fonları çalmak için truva para birimi cüzdanlarını ve ticaret uygulamalarını yayarak kripto para kullanıcılarını hedeflemeye başladı.
Nisan 2022'de ABD Hazinesi ve FBI, Lazarus Grubunu Blockchain tabanlı oyun Axie Infinity'den 617 milyon doların üzerinde Ethereum ve USDC tokenlerinin hırsızlığına bağladı.
Daha sonra tehdit aktörlerinin, bu saldırının bir parçası olarak blockchain mühendislerinden birine kazançlı bir iş teklifi gibi davranan kötü niyetli bir PDF dosyası gönderdikleri açıklandı.
Kötü amaçlı yazılım sunmak için sahte istihdam fırsatlarının kullanılması, ABD'deki önde gelen savunma ve havacılık şirketlerinde çalışanları hedefleyen "Operasyon Dream Job" adlı 2020 kampanyasında da kullanıldı.
Sahte Linux güvenlik açığı istismarını bırakır Veri çalma kötü amaçlı yazılım
Kuzey Koreli Andariel Hacking Group'a bağlı yeni EarlyRat kötü amaçlı yazılım
GitHub Push Windows, Linux Kötü Yazılımlarda Sahte Sıfır Gün POC istismarları
35 milyon dolarlık atom cüzdanı soyguna bağlı Lazarus hackerları
Lazarus Hacker'ları ilk erişim için Windows IIS web sunucularını hedeflemek
Kaynak: Bleeping Computer