INC. 5 Опубликовано 24 июля, 2023 GitHub предупредил о распространении кампании социальной инженерии, нацеленной на личные аккаунты сотрудников технологических фирм в сфере блокчейна, криптовалюты или онлайн-игр. Специалисты агентства CISA приписали эту кампанию северокорейской группировке Jade Sleet (TraderTraitor). Группа в основном нацелена на пользователей, связанных с криптовалютой и другими организациями, связанными с блокчейном, но также нацелена на поставщиков этих фирм. Атака начинается с того, что злоумышленник создает поддельные учетные записи (или захватывает существующие) в GitHub и в различных соцсетях и мессенджерах (LinkedIn*, Slack и Telegram)., выдавая себя за разработчика или рекрутера компании. После установления контакта с жертвой злоумышленник приглашает её для совместной работы над репозиторием GitHub и убеждает цель клонировать и выполнить содержимое. Однако репозиторий GitHub содержит ПО, которое включает вредоносные зависимости npm. Некоторые темы программного обеспечения включают медиаплееры и инструменты для торговли криптовалютой. Затем npm-пакеты загружают и запускают вредоносное ПО на устройстве жертвы. Чтобы избежать проверки пакета на вредоносные функции, киберпреступник публикует пакеты только тогда, когда он приглашает жертву в репозиторий. В некоторых случаях злоумышленник может доставить вредоносное ПО непосредственно в мессенджере, минуя этап приглашения/клонирования репозитория. На данный момент все вредоносные аккаунты отключены. Наблюдаемые полезные нагрузки включают обновленные варианты Manuscrypt для macOS и Windows, специальный троян удаленного доступа (Remote Access Trojan, RAT), который собирает системную информацию, выполняет произвольные команды и загружает дополнительные полезные нагрузки. Ранее использование инструмента Manuscrypt эксперты CISA приписали северокорейской группировке Lazarus. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
