Хакери з КНДР використовують GitLab для клонування легального ПЗ з бекдорами

Північнокорейське хакерське угруповання Lazarus Group протягом останніх місяців проводило операцію під назвою Phantom Circuit. Її метою було розповсюдження клонів легальних пакетів програмного забезпечення та інструментів з відкритим кодом для подального встановлення бекдорів. Розробники, які використовували такі клони, могли несвідомо встановити на свої комп’ютери зловмисний софт. За даними дослідників SecurityScorecard, скомпрометовані пакети поширювалися через сервіс GitLab, пише The Register.

Експерти з кібербезпеки виявили, що хакерська кампанія розгорталася кількома хвилями. У листопаді жертвами корейських кіберзлочинців став 181 розробник в переважно європейських країнах. Наступного місяця кількість зламаних ПК зросла до 1225, у тому числі 284 в Індії та 21 у Бразилії. А в січні число жертв збільшилось ще на 233 розробника, серед яких 110 працюють в Індії. 

Викрадені дані включали облікові дані, маркери автентифікації, паролі та іншу системну інформацію. 

Хакери Lazarus Group модифікували репозиторії, які містили Codementor, CoinProperty, Web3 E-Store, менеджер паролів на основі Python та інші програми, пов’язані з криптовалютою, пакети автентифікації та технології web3.

«Репозиторії коду, які вони розміщують на GitLab, є клонами законного програмного забезпечення. Наприклад, вони вбудовують бекдор у обфусцований Node.js. Найстрашніше те, що розробники потім копіюють цей код із git безпосередньо на корпоративні ноутбуки, ми вже бачили це з двома розробниками», — розповів Райан Шерстобітофф, старший віце-президент з досліджень і аналізу загроз у SecurityScorecard.

Коли програміст завантажує та починає використовувати шкідливий форк, зловмисне ПЗ у цьому клонованому коді запускає та встановлює бекдор на його пристрій. Це дозволяє північнокорейцям підключатися та викрадати конфіденційні дані.

«Поки що критичні питання — наприклад, як оброблялися викрадені дані та яка інфраструктура використовувалася для керування цими серверами — досі залишаються без відповіді», — зазначили дослідники.