- Lazarus Group utilizó servicios de almacenamiento JSON para alojar malware en una campaña de entrevista contagiosa dirigida a desarrolladores
- Los atacantes atrajeron a las víctimas a través de ofertas de trabajo falsas en LinkedIn, entregando malware BeaverTail, InvisibleFerret y TsunamiKit.
- El malware extrae datos, roba criptografía y extrae Monero mientras se integra en los flujos de trabajo de desarrollo normales.
Se ha visto a actores de amenazas patrocinados por el estado de Corea del Norte, parte del infame Grupo Lazarus, alojando malware y otros códigos maliciosos en servicios de almacenamiento JSON.
Los investigadores de ciberseguridad NVISIO señalaron que vieron atacantes usando JSON Keeper, JSONsilo y npoint.io en un intento de permanecer invisibles y persistentes en sus ataques.
Los ataques parecen ser parte de la campaña Entrevista Contagiosa. En él, los malos actores primero crearían perfiles falsos en LinkedIn y contactarían a los desarrolladores de software con ofertas de trabajo atractivas o para pedirles ayuda con un proyecto de codificación. Durante el intercambio, los delincuentes pedían a las víctimas que descargaran un proyecto de demostración de GitHub, GitLab o Bitbucket.
Implementación de ladrones de información y puertas traseras
Ahora, NVISIO dice que en uno de los proyectos encontró un valor codificado en Base64 que, aunque parece una clave API, en realidad es una URL a un servicio de almacenamiento JSON. En el almacenamiento, encontraron BeaverTail, un malware y cargador de robo de información que derribó una puerta trasera de Python llamada InvisibleFerret y TsunamiKit.
Este último es un conjunto de herramientas de malware de varias etapas escrito en Python y .NET, que puede servir como un ladrón de información o como un criptojacker que instala XMRig en el dispositivo comprometido y lo obliga a extraer la moneda Monero. Algunos investigadores también dijeron que vieron a BeaverTrail implementando Tropidoor y AkdoorTea.
“Está claro que los actores detrás de Contagious Interview no se están quedando atrás y están tratando de tender una red muy amplia para comprometer a cualquier desarrollador (de software) que pueda parecerles interesante, lo que resulta en la exfiltración de datos e información confidenciales de las carteras criptográficas”, advirtieron los investigadores.
“El uso de sitios web legítimos como JSON Keeper, JSON Silo y npoint.io, junto con repositorios de código como GitLab y GitHub, subraya la motivación del actor y sus intentos sostenidos de operar sigilosamente y mezclarse con el tráfico normal”.
A través de noticias de piratas informáticos
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, análisis y opiniones de expertos en tus feeds. ¡Asegúrese de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en formato de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
