Bulaşıcı Röportaj kampanyasının arkasındaki Kuzey Koreli tehdit aktörleri, kötü amaçlı yükleri hazırlamak için JSON depolama hizmetlerini kullanarak taktiklerini bir kez daha değiştirdi.
NVISO araştırmacıları Bart Parys, Stef Collart ve Efstratios Lontzetidis Perşembe günkü bir raporda, “Tehdit aktörleri son zamanlarda truva atı haline getirilmiş kod projelerinden kötü amaçlı yazılımları barındırmak ve dağıtmak için JSON Keeper, JSONsilo ve npoint.io gibi JSON depolama hizmetlerinden yararlanmaya başvurdu.” dedi.
Kampanya temel olarak LinkedIn gibi profesyonel ağ sitelerinde potansiyel hedeflere, bir iş değerlendirmesi yapma veya bir proje üzerinde işbirliği yapma bahanesiyle yaklaşmayı içeriyor; bunun bir parçası olarak GitHub, GitLab veya Bitbucket gibi platformlarda barındırılan bir demo projesini indirmeleri talimatı veriliyor.
NVISO tarafından tespit edilen böyle bir projede, “server/config/.config.env” adlı bir dosyanın, API anahtarı gibi görünen Base64 kodlu bir değer içerdiği ancak gerçekte, sonraki aşama yükünün gizlenmiş biçimde depolandığı JSON Keeper gibi bir JSON depolama hizmetinin URL’si olduğu bulundu.
Yük, BeaverTail olarak bilinen ve hassas verileri toplayabilen ve InvisibleFerret adlı bir Python arka kapısını bırakabilen bir JavaScript kötü amaçlı yazılımıdır. Arka kapının işlevselliği, Palo Alto Networks tarafından 2023’ün sonlarında ilk kez belgelendiği andan itibaren büyük ölçüde değişmeden kalsa da, dikkate değer bir değişiklik, Pastebin’den TsunamiKit adlı ek bir veri yükünün getirilmesini içeriyor.
Bulaşıcı Röportaj kampanyasının bir parçası olarak TsunamiKit’in kullanımının ESET tarafından Eylül 2025’te vurgulandığını ve saldırılarda Tropidoor ve AkdoorTea’nin de düşürüldüğünü belirtmekte fayda var. Araç seti, sistemin parmak izini alma, veri toplama ve şu anda çevrimdışı olan sabit kodlu bir .onion adresinden daha fazla veri alma kapasitesine sahiptir.
Araştırmacılar, “Bulaşıcı Röportajın arkasındaki aktörlerin geride kalmadıkları ve kendilerine ilginç gelebilecek herhangi bir (yazılım) geliştiriciyi tehlikeye atmak için çok geniş bir ağ oluşturmaya çalıştıkları ve bunun sonucunda hassas verilerin ve kripto cüzdan bilgilerinin sızmasına yol açtığı açıktır” sonucuna vardı.
“JSON Keeper, JSON Silo ve npoint.io gibi meşru web sitelerinin yanı sıra GitLab ve GitHub gibi kod depolarının kullanılması, aktörün motivasyonunun ve gizlice çalışmaya ve normal trafiğe uyum sağlamaya yönelik sürekli girişimlerinin altını çiziyor.”