Il gruppo di attori avanzati persistenti (APT) sponsorizzato dallo stato nordcoreano Lazarus è tornato con un’altra truffa di impersonazione. Questa volta, si finge di essere sviluppatori o recruiter con account GitHub o social media legittimi. Questi attacchi di ingegneria sociale mirano a un gruppo limitato di dipendenti tecnici, invitandoli a unirsi a progetti di sviluppo GitHub che poi diffondono malware tramite dipendenze dannose del gestore di pacchetti node (npm).
Dettagli sulla campagna di Lazarus
Lazarus, un gruppo APT notoriamente prolifico e ben monitorato, che si ritiene sia gestito dal Bureau of Foreign Intelligence and Reconnaissance della Corea del Nord, sta utilizzando questi personaggi in attacchi di ingegneria sociale che mirano a un gruppo limitato di dipendenti tecnici. Invitano le vittime a unirsi a progetti di sviluppo GitHub che poi diffondono malware tramite dipendenze dannose del gestore di pacchetti node (npm).
Obiettivo della campagna
L’obiettivo finale della campagna è far sì che le vittime clonino ed eseguano i contenuti di un repository GitHub che diffonde un attacco malware a due fasi. Gli account sviluppatore presi di mira sono collegati ai settori della blockchain, della criptovaluta, del gioco d’azzardo online, così come a diversi legati al settore della cybersecurity.
Come funziona l’attacco
L’attacco inizia con Lazarus che stabilisce un contatto con un obiettivo e lo invita a collaborare su un repository GitHub. Poiché il contatto sembra provenire da un account legittimo, le vittime potrebbero essere convinte dall’attore a clonare ed eseguire i contenuti del repository, che include software che ha dipendenze npm dannose.
Misure di protezione
GitHub ha sospeso sia gli account npm che GitHub associati alla campagna e ha pubblicato indicatori di compromissione nel suo post. Il sito ha anche presentato rapporti di abuso con gli host di dominio nei casi in cui il dominio era ancora disponibile al momento del rilevamento.