25/07/23
GitHub предупредил о распространении кампании социальной инженерии, нацеленной на личные аккаунты сотрудников технологических фирм в сфере блокчейна, криптовалюты или онлайн-игр.
Специалисты агентства CISA приписали эту кампанию северокорейской группировке Jade Sleet (TraderTraitor), передают Securitylab. Группа в основном нацелена на пользователей, связанных с криптовалютой и другими организациями, связанными с блокчейном, но также нацелена на поставщиков этих фирм.
Атака начинается с того, что злоумышленник создает поддельные учетные записи (или захватывает существующие) в GitHub и в различных соцсетях и мессенджерах (LinkedIn*, Slack и Telegram)., выдавая себя за разработчика или рекрутера компании.
После установления контакта с жертвой злоумышленник приглашает её для совместной работы над репозиторием GitHub и убеждает цель клонировать и выполнить содержимое. Однако репозиторий GitHub содержит ПО, которое включает вредоносные зависимости npm. Некоторые темы программного обеспечения включают медиаплееры и инструменты для торговли криптовалютой. Затем npm-пакеты загружают и запускают вредоносное ПО на устройстве жертвы.
Чтобы избежать проверки пакета на вредоносные функции, киберпреступник публикует пакеты только тогда, когда он приглашает жертву в репозиторий. В некоторых случаях злоумышленник может доставить вредоносное ПО непосредственно в мессенджере, минуя этап приглашения/клонирования репозитория. На данный момент все вредоносные аккаунты отключены.
Наблюдаемые полезные нагрузки включают обновленные варианты Manuscrypt для macOS и Windows, специальный троян удаленного доступа (Remote Access Trojan, RAT), который собирает системную информацию, выполняет произвольные команды и загружает дополнительные полезные нагрузки. Ранее использование инструмента Manuscrypt эксперты CISA приписали северокорейской группировке Lazarus.
