Хотели работу, а получили троян: взломавшие Bybit хакеры атакуют разработчиков
NewsMakerПриманка выглядит профессионально, а ловушка — как домашка на Python.
Хакеры, стоящие за февральским взломом биржи Bybit, снова атакуют. Северокорейская группа, отслеживаемая как Slow Pisces (также известная под именами Jade Sleet, PUKCHONG, TraderTraitor и UNC4899), запустила целенаправленную кампанию против разработчиков в криптовалютной сфере. Злоумышленники маскируют вредоносное ПО под задания для программирования, рассылая их через LinkedIn якобы от имени работодателей.
Атака начинается с сообщения в соцсети, в котором фигурирует предложение о работе и PDF-файл с описанием задания. После проявления интереса потенциальной жертве предлагается загрузить Python-проект с GitHub. Визуально он кажется безобидным и якобы позволяет отслеживать цены криптовалют, но внутрь встроен вредоносный код.
Главная цель — заставить жертву самостоятельно запустить троян, внедрённый в проект. Сначала активируется компонент RN Loader, который собирает базовую информацию о системе и отправляет её на сервер злоумышленников. Если IP-адрес, регион, время и другие параметры совпадают с ожиданиями, на устройство загружается следующий этап атаки — инфостилер RN Stealer.
Этот вредонос способен собирать чувствительную информацию с macOS-устройств: данные о системе, список установленных программ, содержимое домашнего каталога, ключи SSH, а также конфигурации для AWS, Kubernetes и Google Cloud. Отдельное внимание уделяется извлечению данных из связки ключей iCloud.
В случаях, когда жертва претендует на роль JavaScript-разработчика, схема остаётся прежней, но проект называется «Cryptocurrency Dashboard» и использует EJS-шаблонизатор. В нём данные с C2-сервера передаются в функцию ejs.render(), что позволяет скрыть выполнение вредоносного кода.
По данным Palo Alto Networks, группа избегает стандартных подходов, вроде eval() или exec(), чтобы не вызывать подозрений. Вместо этого используется десериализация YAML, что позволяет исполнять произвольный код менее заметно. Кроме того, все полезные нагрузки загружаются поэтапно и хранятся только в памяти, что затрудняет их анализ.
Ранее аналогичные атаки со стороны этой же группы были зафиксированы в отношении сотрудников компаний, связанных с блокчейном, криптовалютами, азартными играми и кибербезопасностью. Тогда злоумышленники продвигали вредоносные npm-пакеты под видом заданий по программированию.
Группировка Jade Sleet — лишь одна из многих северокорейских ячеек, эксплуатирующих тему трудоустройства в своих атаках. Среди других подобных кампаний — Operation Dream Job, Contagious Interview и Alluring Pisces. Несмотря на отсутствие пересечений в инфраструктуре, все они используют схожие сценарии заражения, выдавая себя за рекрутеров.
Отличительной чертой Slow Pisces остаётся строгий контроль над распространением вредоносного кода. Доставка происходит только после проверки параметров, а окончательные инструменты загружаются, лишь если хакеры уверены, что жертва действительно представляет интерес.
Хакеры, стоящие за февральским взломом биржи Bybit, снова атакуют. Северокорейская группа, отслеживаемая как Slow Pisces (также известная под именами Jade Sleet, PUKCHONG, TraderTraitor и UNC4899), запустила целенаправленную кампанию против разработчиков в криптовалютной сфере. Злоумышленники маскируют вредоносное ПО под задания для программирования, рассылая их через LinkedIn якобы от имени работодателей.
Атака начинается с сообщения в соцсети, в котором фигурирует предложение о работе и PDF-файл с описанием задания. После проявления интереса потенциальной жертве предлагается загрузить Python-проект с GitHub. Визуально он кажется безобидным и якобы позволяет отслеживать цены криптовалют, но внутрь встроен вредоносный код.
Главная цель — заставить жертву самостоятельно запустить троян, внедрённый в проект. Сначала активируется компонент RN Loader, который собирает базовую информацию о системе и отправляет её на сервер злоумышленников. Если IP-адрес, регион, время и другие параметры совпадают с ожиданиями, на устройство загружается следующий этап атаки — инфостилер RN Stealer.
Этот вредонос способен собирать чувствительную информацию с macOS-устройств: данные о системе, список установленных программ, содержимое домашнего каталога, ключи SSH, а также конфигурации для AWS, Kubernetes и Google Cloud. Отдельное внимание уделяется извлечению данных из связки ключей iCloud.
В случаях, когда жертва претендует на роль JavaScript-разработчика, схема остаётся прежней, но проект называется «Cryptocurrency Dashboard» и использует EJS-шаблонизатор. В нём данные с C2-сервера передаются в функцию ejs.render(), что позволяет скрыть выполнение вредоносного кода.
По данным Palo Alto Networks, группа избегает стандартных подходов, вроде eval() или exec(), чтобы не вызывать подозрений. Вместо этого используется десериализация YAML, что позволяет исполнять произвольный код менее заметно. Кроме того, все полезные нагрузки загружаются поэтапно и хранятся только в памяти, что затрудняет их анализ.
Ранее аналогичные атаки со стороны этой же группы были зафиксированы в отношении сотрудников компаний, связанных с блокчейном, криптовалютами, азартными играми и кибербезопасностью. Тогда злоумышленники продвигали вредоносные npm-пакеты под видом заданий по программированию.
Группировка Jade Sleet — лишь одна из многих северокорейских ячеек, эксплуатирующих тему трудоустройства в своих атаках. Среди других подобных кампаний — Operation Dream Job, Contagious Interview и Alluring Pisces. Несмотря на отсутствие пересечений в инфраструктуре, все они используют схожие сценарии заражения, выдавая себя за рекрутеров.
Отличительной чертой Slow Pisces остаётся строгий контроль над распространением вредоносного кода. Доставка происходит только после проверки параметров, а окончательные инструменты загружаются, лишь если хакеры уверены, что жертва действительно представляет интерес.