توسعه‌دهندگان در معرض خطر هکرهای لازاروس هستند

کمیته رکن چهارم – شرکت گیت‌هاب هشدار داد که هکرهای لازاروس در حال هدف گرفتن توسعه‌دهندگان با استفاده از پروژه‌های مخرب هستند.

گیت‌هاب در مورد یک کمپین مهندسی اجتماعی هشدار می‌دهد که حساب‌های توسعه‌دهندگان در بلاک‌چین، ارزهای دیجیتال، قمار آنلاین و بخش‌های امنیت سایبری را هدف می‌گیرد تا دستگاه‌های آن‌ها را با بدافزار آلوده کند.

این کمپین با گروه هکری لازاروس، تحت حمایت دولت کره شمالی که با نام‌های Jade Sleet و تریدر خیانتکار (Trader Traitor) نیز شناخته می‌شود، مرتبط بود. دولت ایالات متحده در سال ۲۰۲۲ گزارشی را منتشر کرد که در آن جزئیات تاکتیک‌های عوامل تهدید را شرح داد.

این گروه هکر سابقه طولانی در هدف قرار دادن شرکت‌های ارزهای دیجیتال و محققان امنیت سایبری برای جاسوسی سایبری و سرقت ارزهای دیجیتال دارد.

گیت‌هاب در یک هشدار امنیتی جدید اعلام کرد که گروه لازاروس در حال به خطر انداختن حساب‌های قانونی یا ایجاد شخصیت‌های جعلی است که وانمود می‌کنند توسعه‌دهنده و استخدام‌کننده در گیت‌هاب و رسانه‌های اجتماعی هستند.

از این ترفندها برای تماس و شروع گفتگو با توسعه‌دهندگان و کارمندان در صنعت ارزهای دیجیتال، قمار آنلاین و امنیت سایبری استفاده می‌شود. این مکالمات معمولاً به پلتفرم دیگری منتهی می‌شود که در کمپین‌های گذشته واتس‌اپ بود.

پس از ایجاد اعتماد با هدف، بازیگران تهدید از آن‌ها دعوت می‌کنند تا در پروژه‌ای همکاری کنند و یک مخزن گیت‌هاب با مضمون پخش‌کننده‌های رسانه و ابزارهای معاملاتی ارزهای دیجیتال شبیه‌سازی کنند.

با این حال، گیت‌هاب می‌گوید این پروژه‌ها از وابستگی‌های مخرب NPM استفاده می‌کنند که بدافزارهای بیشتری را در دستگاه‌های هدف دانلود می‌کنند.

با اینکه گیت‌هاب فقط به اشتراک گذاشت که بسته‌های NPM مخرب به عنوان یک دانلودکننده بدافزار در مرحله اول عمل می‌کنند، آن‌ها به گزارش ماه ژوئن Phylum اشاره کردند که به جزئیات بیشتری در مورد NPMهای مخرب می‌پردازد.

به گفته Phylum، NPMها به عنوان دانلودکننده بدافزار عمل می‌کنند که به سایت‌های راه دور متصل می‌شوند تا بارهای اضافی را روی دستگاه آلوده اجرا کنند.

متأسفانه، محققان Phylum نتوانستند بارهای مرحله دوم را برای مشاهده بدافزار نهایی تحویل داده شده به دستگاه و تجزیه و تحلیل رفتار مخرب اجرا شده دریافت کنند.

گیت‌هاب می‌گوید که آن‌ها تمام حساب‌های NPM و گیت‌هاب را به حالت تعلیق درآورده‌اند و لیست کاملی از شاخص‌های مربوط به دامنه‌ها، حساب‌های گیت‌هاب و بسته‌های NPM مرتبط با کمپین را منتشر کرده‌اند.

این شرکت همچنین تأکید می‌کند که هیچ سیستم گیت‌هاب یا npm در طول این کمپین به خطر نیفتاده است.

این کمپین شبیه کمپین لازاروس در ژانویه ۲۰۲۱ است؛ زمانی که عوامل تهدید، محققان امنیتی را در حملات مهندسی اجتماعی با استفاده از پرسونای رسانه‌های اجتماعی جعلی «محقق امنیت» برای آلوده کردن اهداف به بدافزار هدف قرار دادند.

این کار با متقاعد کردن محققان برای همکاری در توسعه آسیب‌پذیری با توزیع پروژه‌های Visual Studio مخرب برای سوءاستفاده‌های آسیب‌پذیری ادعایی که یک درب پشتی سفارشی نصب می‌کردند، انجام شد.

کمپین مشابهی در مارس ۲۰۲۱ انجام شد، زمانی که هکرها یک وب‌سایت برای یک شرکت جعلی به نام SecuriElite ایجاد کردند تا محققان را با بدافزار آلوده کنند.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.