- استخدمت Lazarus Group خدمات تخزين JSON لاستضافة برامج ضارة في حملة Contagious Interview التي تستهدف المطورين
- قام المهاجمون بإغراء الضحايا عبر عروض عمل مزيفة على LinkedIn، وقاموا بإرسال البرامج الضارة BeaverTail وInvisibleFerret وTsunamiKit
- تقوم البرامج الضارة بتصفية البيانات وسرقة العملات المشفرة واستخراج عملة Monero، مع دمجها في سير عمل التطوير العادي
شوهدت جهات التهديد التي ترعاها الدولة في كوريا الشمالية، وهي جزء من مجموعة Lazarus سيئة السمعة، وهي تستضيف برامج ضارة ورموزًا ضارة أخرى على خدمات تخزين JSON.
أشار باحثو الأمن السيبراني NVISIO إلى أنهم رأوا مهاجمين يستخدمون JSON Keeper وJSONsilo وnpoint.io في محاولة للبقاء غير مرئيين ومستمرين في هجماتهم.
يبدو أن الهجمات جزء من حملة المقابلة المعدية. وفي هذه العملية، يقوم الأوغاد أولاً بإنشاء ملفات تعريف مزيفة على LinkedIn والتواصل مع مطوري البرامج إما من خلال عروض عمل مغرية، أو لطلب المساعدة في مشروع برمجة. خلال هذه العملية، سيطلب المحتالون من الضحايا تنزيل مشروع تجريبي من GitHub أو GitLab أو Bitbucket.
نشر سارقي المعلومات والأبواب الخلفية
الآن، قالت NVISIO أنه في أحد المشاريع، عثرت على قيمة مشفرة بـ Base64 والتي، على الرغم من أنها تبدو كمفتاح API، إلا أنها في الواقع عنوان URL لخدمة تخزين JSON. في المخزن، عثروا على BeaverTail، وهو برنامج ضار لسرقة المعلومات ومُحمل أسقط بابًا خلفيًا لـ Python يُسمى InvisibleFerret، وTsunamiKit.
الأخير عبارة عن مجموعة أدوات برامج ضارة متعددة المراحل مكتوبة بلغة Python و.NET، ويمكن أن تكون بمثابة أداة سرقة معلومات أو أداة تشفير تعمل على تثبيت XMRig على الجهاز المخترق وإجباره على استخراج عملة Monero. وقال بعض الباحثين أيضًا إنهم رصدوا BeaverTrail ينشر Tropidoor وAkdoorTea.
وحذر الباحثون من أنه “من الواضح أن الجهات الفاعلة التي تقف وراء Contagious Interview لا تتخلف عن الركب وتحاول إنشاء شبكة واسعة جدًا لاختراق أي مطور (برامج) قد يبدو مثيرًا للاهتمام بالنسبة لهم، مما يؤدي إلى تسرب البيانات الحساسة ومعلومات محفظة العملات المشفرة”.
“إن استخدام مواقع الويب الشرعية مثل JSON Keeper وJSON Silo وnpoint.io، جنبًا إلى جنب مع مستودعات التعليمات البرمجية مثل GitLab وGitHub، يؤكد على دوافع الممثل ومحاولاته المستمرة للعمل خلسة والاندماج مع حركة المرور العادية.”
عبر أخبار الهاكر
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات