Düşük profilli sosyal mühendislik girişimleriyle teknoloji firmalarının kişisel hesaplarını hedef alan Kuzey Kore merkezli bir tehdit aktörü.
Bu kampanya, kurbanın blockchain, kripto para birimi veya çevrimiçi kumar sektörleriyle ilişkili hesaplarını hedeflemek için havuz davetleri ve kötü niyetli bir npm paketinin bir kombinasyonunu kullanır.
Github tarafından yayınlanan son makaleye göre, bu kampanya aktörü, muhtemelen Microsoft Tehdit İstihbaratı tarafından Jade Sleet ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından TraderTraitor olarak bilinen bir grupla bağlantılı.
GitHub, bu kampanyada hiçbir GitHub hesabının veya npm sistem hesabının güvenliğinin ihlal edilmediğini doğruladı.
Lazarus Grubu Saldırı Süreci
Başlangıçta, tehdit aktörü Github’da ve diğer bazı sosyal medya web sitelerinde profesyonel profiller oluşturarak bir geliştiricinin veya işverenin kimliğine bürünür.
Kurbanlarla iletişim kurmak için hem kişisel hesapları hem de jade sleet tarafından ele geçirilmiş hesapları kullanıyorlar.
Aktör, bir platformda iletişim başlatabilir ve ardından sohbeti başka bir platforma geçirebilir.
Bir hedefle bağlantı kurulduktan sonra, tehdit aktörü hedefi bir GitHub deposunda işbirliği yapmaya davet eder ve hedefin içeriğini klonlaması ve yürütmesi için manipüle eder.
Bazı durumlarda, aktör kötü amaçlı yazılımı doğrudan bir mesajlaşma veya dosya paylaşım hizmeti aracılığıyla gönderebilir ve insanları depoya davet etme ve onu klonlama adımını atlayabilir.
GitHub kaynağındaki yazılım, kötü amaçlı npm bağımlılıklarına sahiptir. Tehdit aktörü tarafından kullanılan yazılımlardan bazıları, medya oynatıcılar ve kripto para birimleri satmaya yönelik araçlardır.
Bu kötü amaçlı npm paketleri, kurbanın bilgisayarına ikinci aşama kötü amaçlı yazılım indirir.
Tehdit aktörü, sahte bir havuz daveti gönderene kadar genellikle kötü niyetli paketlerini yayınlamaz.
Github, kampanyayla ilişkili npm ve GitHub hesaplarını askıya aldı ve bloglarında IOC ayrıntılarını paylaştı.
Bu kampanyadan kaçınmanın en iyi yolu, sosyal medyanın npm paketleri veya bunlara bağlı yazılımlar üzerinde işbirliği yapma veya yükleme taleplerine karşı dikkatli olmaktır.
En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.