Kuzey Kore’deki Lazarus Grubu, “Sahte Yazı Tipi” adlı bir kampanya aracılığıyla yazılım geliştiricilerini hedef alan karmaşık bir tedarik zinciri saldırısı başlattı.
Tehdit aktörleri, mühendisleri gizli kötü amaçlı yazılım içeren kodu indirmeleri için kandırmak amacıyla sahte iş görüşmeleri ve kötü amaçlı GitHub depoları kullanıyor.
100 gün önce başlayan bu kampanya, son dönemde operasyon kapsamında belirlenen 19 depoyla yoğunlaştı.
Kötü amaçlı yazılım, sonuçta kripto para birimi cüzdanlarını ve tarayıcı kimlik bilgilerini çalmak ve güvenliği ihlal edilmiş makinelere uzun vadeli erişim sağlamak için tasarlanmış InvisibleFerret Python arka kapısını dağıtıyor.
.webp)
Saldırı, kripto para birimi ve fintech şirketlerinden sahte işe alım görevlilerinin geliştiricilerle iletişim kurduğu LinkedIn’de başlıyor. Hedefin GitHub profilinden etkilenen işe alım yöneticileri gibi davranıyorlar ve basit bir kodlama değerlendirmesinin tamamlanmasını talep ediyorlar.
Geliştiricilere, React ön uçlarına, Node.js arka uçlarına, uygun belgelere ve CI/CD yapılandırmalarına sahip standart web proje yapılarını içeren, yasal görünen depolara bağlantılar gönderilir.
.webp)
Bu özgün görünüm, kötü amaçlı depoların ilk bakışta gerçek projelerden ayırt edilmesini zorlaştırıyor.
Açık Kaynak Kötü Amaçlı Yazılım analistleri kampanyanın nasıl çalıştığını belirledi ve belgeledi. Saldırı, geliştiriciler tarafından testleri çalıştırmak ve proje oluşturmak için yaygın olarak kullanılan Microsoft Visual Studio Code’un görev otomasyonu özelliğinden yararlanıyor.
Her kötü amaçlı deponun içinde gizli bir .vscode/tasks.json VS Code’da klasör açıldığında otomatik olarak yürütülecek şekilde yapılandırılmış dosya.
Enfeksiyon mekanizması
Bulaşma mekanizması, JavaScript kötü amaçlı yazılımını web yazı tipi dosyaları olarak gizlemeye dayanır. .woff2 Uzantılar.
Bir geliştirici depoyu açtığında VS Code, sahte yazı tipi dosyasını Node.js aracılığıyla çalıştıran kötü amaçlı görevi otomatik olarak yürütür.
Bu, kullanıcıya büyük ölçüde görünmez kalarak kötü amaçlı yazılımı çalıştıran çok aşamalı bir yükleyiciyi tetikler.
Görev yapılandırmasındaki sunum ayarları tüm çıkış pencerelerini gizleyerek saldırının tespit edilmesini zorlaştırır.
Bu kampanyayı özellikle tehlikeli kılan şey, geliştiricilerin açık kaynak depolarına ve geliştirme araçlarına duyduğu meşru güveni istismar etmesidir.
Font dosyalarının Font Awesome simgelerini kullanan web uygulamaları için beklenen proje düzenine mükemmel şekilde uymasıyla, depo yapısı tamamen normal görünüyor.
Bir iş değerlendirmesi için bu depoları klonlayan geliştiricilerin, kötü amaçlı yazılım yüklediklerine dair hiçbir görsel göstergesi yoktur.
Kampanya, saldırganların güvenlik önlemlerini atlatmak için tekniklerini nasıl geliştirmeye devam ettiklerini gösteriyor.
Lazarus Group, sosyal mühendislik, tedarik zinciri açıkları ve araca özgü özellikleri bir araya getirerek, hassas sistemlere ve kripto para birimi varlıklarına erişimi olan yüksek değerli bir kitleyi başarıyla hedefliyor.
Güvenlik ekipleri, bu kampanyadan kaynaklanabilecek potansiyel tehlikeleri tespit etmek için kuruluşları genelinde GitHub veri havuzu erişimini ve VS Kodu yapılandırmalarını derhal incelemelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
