- Lazarus Group gebruikte JSON-opslagdiensten om malware te hosten in de Contagious Interview-campagne gericht op ontwikkelaars
- Aanvallers lokten slachtoffers via valse vacatures op LinkedIn, waarbij ze BeaverTail-, InvisibleFerret- en TsunamiKit-malware leverden
- Malware exfiltreert gegevens, steelt crypto en mineert Monero, terwijl het opgaat in de normale ontwikkelworkflows
Er is waargenomen dat Noord-Koreaanse, door de staat gesponsorde dreigingsactoren, onderdeel van de beruchte Lazarus Group, malware en andere kwaadaardige code hosten op JSON-opslagdiensten.
Cybersecurity-onderzoekers NVISIO gaven aan dat ze aanvallers JSON Keeper, JSONsilo en npoint.io hadden zien gebruiken in een poging ongezien en volhardend te blijven in hun aanvallen.
De aanvallen lijken deel uit te maken van de Contagious Interview-campagne. Daarin zouden de onverlaten eerst valse LinkedIn-profielen aanmaken en contact opnemen met softwareontwikkelaars met verleidelijke vacatures, of om hulp te vragen bij een codeerproject. Tijdens het heen en weer vragen de boeven de slachtoffers om een demoproject te downloaden van GitHub, GitLab of Bitbucket.
Infostealers en achterdeurtjes inzetten
Nu zegt NVISIO dat het in een van de projecten een Base64-gecodeerde waarde heeft gevonden die, ook al lijkt het op een API-sleutel, in werkelijkheid een URL is naar een JSON-opslagservice. In de opslag vonden ze BeaverTail – een infostealer-malware en een lader die een Python-achterdeur met de naam InvisibleFerret en TsunamiKit liet vallen.
Dit laatste is een meerfasige malwaretoolkit geschreven in Python en .NET, die kan dienen als infostealer, of als cryptojacker die XMRig op het getroffen apparaat installeert en het dwingt de Monero-valuta te minen. Sommige onderzoekers zeiden ook dat ze BeaverTrail Tropidoor en AkdoorTea hadden zien inzetten.
“Het is duidelijk dat de actoren achter Contagious Interview niet achterblijven en proberen een zeer breed net uit te werpen om elke (software) ontwikkelaar die voor hen interessant lijkt in gevaar te brengen, resulterend in exfiltratie van gevoelige gegevens en crypto-portemonnee-informatie”, waarschuwden de onderzoekers.
“Het gebruik van legitieme websites zoals JSON Keeper, JSON Silo en npoint.io, samen met codeopslagplaatsen zoals GitLab en GitHub, onderstreept de motivatie van de acteur en aanhoudende pogingen om heimelijk te opereren en op te gaan in het normale verkeer.”
Via Het hackernieuws
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En dat kan natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons WhatsAppen te.
