Kuzey Koreli tehdit aktörleri, sahte işe alım teklifleri yoluyla yazılım geliştiricilerini hedef alan karmaşık bir sosyal mühendislik kampanyası başlattı.
Bulaşıcı Röportaj olarak bilinen kampanya, çift katmanlı bir kötü amaçlı yazılım sistemi kurmak için teknik değerlendirme projeleri olarak gizlenen kötü amaçlı depoları kullanıyor.
Kurbanlar, Meta2140 gibi kuruluşları temsil ettiklerini iddia eden sahte işe alım uzmanlarından gelen LinkedIn mesajları aracılığıyla kandırılıyor ve ardından gizli kötü amaçlı kod içeren depoları indirmeye yönlendiriliyor.
Saldırı, kimlik bilgilerini ve kripto para cüzdanlarını çalmak ve kurban sistemlerine kalıcı uzaktan erişim sağlamak için tasarlanmış, dikkatle hazırlanmış iki aşamalı bir enfeksiyon süreci aracılığıyla gerçekleştirilir.
Kötü amaçlı yazılım birden fazla bulaşma vektörü kullanıyor; en tehlikelisi ise gizli VS Code görevleri yapılandırmasıdır.
Geliştiriciler, kodu incelemek veya yapay zeka destekli incelemeyi etkinleştirmek için proje klasörünü açtıklarında, doğrudan kod yürütülmesi gerekmeden gizli bir görev otomatik olarak yürütülür.
İkinci bir vektör, meşru görünen işlevlerin veri yükünün indirilmesini ve yürütülmesini tetiklediği, sunucu koduna gömülü uygulama mantığı kancalarını kullanır.
Her ikisi de başarısız olursa, saldırı kötü amaçlı bir npm bağımlılığı kurmaya çalışır. Bu yöntemler, kurbanlar doğrudan kod çalıştırmaktan kaçınarak dikkatli davransalar bile başarılı bir enfeksiyon sağlar.
SEAL Intel’deki güvenlik araştırmacıları, üç ayrı kurbanın bir ay içinde yardım aramasının ardından kampanyayı tespit edip analiz etti.
.webp)
Kurbanların tümü aynı saldırı düzenini yaşadı ve önemli mali kayıplar bildirdi.
Taahhüt geçmişini ve meta verileri inceleyen araştırmacılar, kötü amaçlı yazılımın daha önce Ultra-X gibi dolandırıcılık projeleri yürüten Kuzey Koreli BT çalışanlarından kaynaklandığını keşfetti.
Kaydetme zaman damgaları sürekli olarak Kore Standart Saat dilimi ayarlarını göstererek ilişkilendirmeyi daha da doğruladı.
Enfeksiyon mekanizması
Enfeksiyon mekanizması farklı aşamalarda çalışır. Tetiklendiğinde kötü amaçlı yazılım, tamamen sistem belleğinde çalışan bir Node.js denetleyicisini indirir.
Bu denetleyici, hassas verileri çalmak için beş özel modül kullanır. Keylogger ve ekran görüntüsü modülü, kullanıcı etkinliğini izler ve sonuçları saldırganın 172.86.116.178 adresindeki komut sunucusuna yükler.
.webp)
Bir dosya yakalayıcı, ana dizini yapılandırma dosyaları, sırlar ve SSH anahtarları için tarar. Pano monitörü kripto para birimi adreslerini izlerken, tarayıcı hırsızı oturum açma kimlik bilgilerini ve cüzdan bilgilerini içeren Chrome, Brave ve Opera veritabanlarını hedef alıyor.
Son olarak, bir uzaktan erişim aracı, saldırganın komuta merkezine Socket.io kullanarak bağlanarak keyfi kabuk komutlarının yürütülmesine olanak tanır.
Node.js aşamasını takiben kötü amaçlı yazılım, daha güçlü kalıcılık sağlayan Python veri yüklerini dağıtır. Özellikle Windows sistemlerinde, kötü amaçlı yazılım, RuntimeBroker.exe gibi meşru Windows işlemlerini taklit eden başlangıç klasörü enjeksiyonları ve zamanlanmış görevler oluşturur.
Madenci modülü XMRig kripto para madenciliği yazılımını indirir. Yürütme boyunca, kötü amaçlı yazılım, çalınan verileri hazırlamak ve yeniden başlatmalar sırasında enfeksiyona dayanak sağlamak için .npm ve sistem klasörlerinde gizli dizinler oluşturur.
Geliştiriciler, otomatik VS Code görevi yürütmeyi derhal devre dışı bırakmalı ve çalışma alanı güven doğrulamasını etkinleştirmelidir.
Gizli .n2, .n3 veya .npm dizinleri de dahil olmak üzere enfeksiyon belirtileri gösteren sistemler, tam kimlik bilgisi rotasyonu ve temiz cihazlardan yeni adreslere kripto para cüzdanı geçişini gerektirir.
Enfeksiyona maruz kalan Windows sistemleri, kayıt defteri düzeyindeki kalıcılık mekanizmaları nedeniyle işletim sisteminin tamamen yeniden yüklenmesini gerektirir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
