Хакери з КНДР змінюють тактику злому комп’ютерів Python-розробників

Команда Unit 42 з Palo Alto Networks помітила чергову активність хакерської групи з КНДР, яка стоїть за найбільшою в історії крадіжкою криптовалюти з біржі Bybit. На цей раз увага кіберзлочинців направлена на Python-розробників, яким пропонують запустити шкідливий код під виглядом розгортання тестового завдання, повідомляє The Hacker News.

На відміну від інших атак, після встановлення шкідливого ПЗ хакери спочатку збирають більш детальну інформацію про жертву, щоб визначити, чи потрібен їм постійний доступ до його комп’ютера. Крім того, їх цікавлять лише програмісти, які працюють на комп’ютерах Apple macOS.

Учасники хакерського угруповання Slow Pisces, яке відоме також під назвами Jade Sleet, PUKCHONG, TraderTraitor і UNC4899, через LinkedIn надсилають розробникам, які спеціалізуються на криптовалютних проектах, пропозицію роботи. Для підтвердження рівня кваліфікації потенційним жертвам пропонують виконати тестове завдання. Якщо програміст необачливо запускає скомпрометований проект, відбувається зараження його системи за допомогою шкідливих програм RN Loader і RN Stealer.

RN Stealer — викрадач інформації, здатний збирати конфіденційні дані із заражених систем Apple macOS. Це можуть бути системні метадані, встановлені програми, список каталогів і вміст верхнього рівня домашнього каталогу жертви, iCloud Keychain, збережені ключі SSH і файли конфігурації для AWS, Kubernetes і Google Cloud.

Slow Pisces має історію атак на розробників криптовалютних проектів, звертаючись до них на LinkedIn нібито від імені потенційних роботодавців.

У червні минулого року компанія Mandiant, що належить Google, детально розповіла про спосіб дії зловмисників: спочатку вони надсилають для ознайомлення нешкідливий PDF-документ, що містить опис вакансії, а потім пропонують заповнити анкету навичок, якщо розробник виявляє інтерес.

Анкета включає інструкції щодо завершення виконання тестового завдання, під час якого відбувається завантаження троянського проекту Python з GitHub. За легендою, цей проект нібито лише переглядає ціни на криптовалюту. Насправді він розроблений для зв’язку з віддаленим сервером для отримання невизначеного корисного навантаження другого етапу, якщо виконуються певні умови.

Багатоетапний ланцюжок атак, задокументований Unit 42, надсилає зловмисне корисне навантаження лише перевіреним цілям, ймовірно, на основі IP-адреси, геолокації, часу та заголовків запитів HTTP.

«Зосередження уваги на особах, з якими зв’язуються через LinkedIn, на відміну від широких фішингових кампаній, дозволяє групі жорстко контролювати пізніші етапи кампанії та доставляти корисне навантаження лише очікуваним жертвам. Щоб уникнути підозрілих функцій eval і exec, Slow Pisces використовує десеріалізацію YAML для виконання свого корисного навантаження», — пояснює представник Unit 42.