Группа Lazarus из Северной Кореи использует службы JSON-хранилища для распространения вредоносного ПО, нацеленного на разработчиков. Это происходит в рамках кампании под названием "Contagious Interview".
Как Lazarus использует JSON-хранилища для атак
Как происходит атака
Хакеры создают фальшивые профили на LinkedIn, чтобы завлечь разработчиков предложениями о работе или помощи в программировании. Потенциальным жертвам предлагается загрузить демо проекты с GitHub, GitLab или Bitbucket.
NVISIO обнаружила, что в Base64-значениях на этих платформах содержатся URL-адреса JSON-хранилищ, где размещены такие угрозы, как BeaverTail, InvisibleFerret и TsunamiKit. Эти программы воруют данные и устанавливают XMRig для майнинга Monero.
Продвинутые методы и тактики
Использование законных JSON-хранилищ и репозиториев позволяет злоумышленникам оставаться неприметными и поддельно интегрироваться в обычный трафик разработчиков.
- Lazarus использует JSONKeeper, JSONsilo и npoint.io в своих атаках.
- Основной целью являются программисты, привлеченные через LinkedIn.
- Малварь ворует чувствительные данные и криптовалютные кошельки.
- Используется программное обеспечение как InvisibleFerret и TsunamiKit.
Понимание и идентификация таких угроз — это ключ к защите от подобных атак.
