- Lazarus Group menggunakan layanan penyimpanan JSON untuk menghosting malware dalam kampanye Wawancara Menular yang menargetkan pengembang
- Penyerang memikat korban melalui tawaran pekerjaan LinkedIn palsu, mengirimkan malware BeaverTail, InvisibleFerret, dan TsunamiKit
- Malware mengambil data, mencuri kripto, dan menambang Monero—sambil menyatu dengan alur kerja pengembang normal
Aktor ancaman yang disponsori negara Korea Utara, termasuk yang terkenal Grup Lazarusterlihat menghosting malware dan kode berbahaya lainnya di layanan penyimpanan JSON.
Peneliti keamanan siber NVISIO mencatat bahwa mereka telah melihat penyerang menggunakan JSON Keeper, JSONsilo, dan npoint.io dalam upaya untuk tetap tidak terlihat dan terus-menerus melakukan serangan.
Serangan tersebut tampaknya merupakan bagian dari kampanye Wawancara Menular. Di dalamnya, para penjahat pertama-tama akan membuat profil LinkedIn palsu dan menghubungi pengembang perangkat lunak dengan tawaran pekerjaan yang menarik, atau untuk meminta bantuan dalam proyek pengkodean. Selama bolak-balik, penjahat akan meminta korban untuk mengunduh proyek demo dari GitHub, GitLab, atau Bitbucket.
Menyebarkan pencuri informasi dan pintu belakang
Sekarang, NVISIO mengatakan bahwa dalam salah satu proyek, mereka menemukan nilai berkode Base64 yang, meskipun terlihat seperti kunci API, sebenarnya adalah URL ke layanan penyimpanan JSON. Di gudang, mereka menemukan BeaverTail – seorang pencuri informasi perangkat lunak perusak dan pemuat yang menjatuhkan pintu belakang Python bernama InvisibleFerret, dan TsunamiKit.
Yang terakhir adalah perangkat malware multi-tahap yang ditulis dengan Python dan .NET, yang dapat berfungsi sebagai pencuri informasi, atau sebagai cryptojacker yang menginstal XMRig pada perangkat yang disusupi dan memaksanya untuk menambang mata uang Monero. Beberapa peneliti juga mengatakan mereka melihat BeaverTrail menyebarkan Tropidoor dan AkdoorTea.
“Jelas bahwa para aktor di balik Contagious Interview tidak ketinggalan dan mencoba menggunakan jaring yang sangat luas untuk mengkompromikan pengembang (perangkat lunak) mana pun yang mungkin tampak menarik bagi mereka, yang mengakibatkan eksfiltrasi data sensitif dan informasi dompet kripto,” para peneliti memperingatkan.
“Penggunaan situs web yang sah seperti JSON Keeper, JSON Silo, dan npoint.io, serta repositori kode seperti GitLab dan GitHub, menggarisbawahi motivasi aktor dan upaya berkelanjutan untuk beroperasi secara diam-diam dan berbaur dengan lalu lintas normal.”
Melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
