Οι ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια εξελιγμένη καμπάνια όπου οι παράγοντες απειλών καταχρώνται τις νόμιμες υπηρεσίες αποθήκευσης JSON για την παράδοση κακόβουλου λογισμικού σε προγραμματιστές λογισμικού.
Η καμπάνια, γνωστή ως Μεταδοτική Συνέντευξη, αντιπροσωπεύει μια σημαντική αλλαγή στον τρόπο με τον οποίο οι εισβολείς αποκρύπτουν κακόβουλα ωφέλιμα φορτία σε φαινομενικά νόμιμα έργα ανάπτυξης.
Εκμεταλλευόμενοι πλατφόρμες όπως το JSON Keeper, το JSONsilo και το npoint.io, οι φορείς απειλών έχουν βρει έναν τρόπο να συνδυάζουν την παράδοση κακόβουλου κώδικα σε νόμιμη κυκλοφορία, καθιστώντας τον εντοπισμό όλο και πιο δύσκολο.
Η εκστρατεία Contagious Interview είναι ενεργή τουλάχιστον από το 2023 και ευθυγραμμίζεται με τους παράγοντες της Λαϊκής Δημοκρατίας της Κορέας (ΛΔΚ).
Η λειτουργία στοχεύει συγκεκριμένα τους προγραμματιστές λογισμικού σε συστήματα Windows, Linux και macOS, με ιδιαίτερη έμφαση σε όσους εργάζονται σε έργα κρυπτονομισμάτων και Web3.
Στόχος των επιτιθέμενων είναι το οικονομικό κέρδος, με στόχο να κλέψουν ευαίσθητες πληροφορίες και ψηφιακά περιουσιακά στοιχεία από τα θύματα.
Η αρχική πρόσβαση αποκτάται μέσω σχολαστικά σχεδιασμένων τακτικών κοινωνικής μηχανικής, όπου οι ψεύτικοι προσλαμβάνοντες προσεγγίζουν πιθανά θύματα σε πλατφόρμες αναζήτησης εργασίας όπως το LinkedIn με συναρπαστικές ευκαιρίες εργασίας.
Η επίθεση συνήθως ξεκινά με ένα επαγγελματικά κατασκευασμένο μήνυμα από έναν ψεύτικο υπεύθυνο προσλήψεων που ισχυρίζεται ότι εκπροσωπεί μια νόμιμη εταιρεία που εργάζεται σε έργα ακινήτων ή Web3.
.webp.jpeg)
Μετά από πολλά μηνύματα που ανταλλάσσουν ευχάριστα πράγματα και συζητούν τον ρόλο, ο υπεύθυνος προσλήψεων μοιράζεται ένα έργο επίδειξης που φιλοξενείται στο GitLab ή στο GitHub ως μέρος μιας αξιολόγησης συνέντευξης.
Αναλυτές ασφαλείας της NVISO Labs αναγνωρισθείς ότι αυτή η προσέγγιση εξαπατά με επιτυχία τους προγραμματιστές να κατεβάσουν και να εκτελέσουν trojanized κώδικα.
Μηχανισμός Επίθεσης
Τα έργα επίδειξης φαίνονται νόμιμα, με λεπτομερή αρχεία readme και επαγγελματικές διατάξεις που παρουσιάζουν πλατφόρμες ακινήτων ή εφαρμογές κρυπτονομισμάτων, δημιουργώντας μια πειστική πρόσοψη.
.webp.jpeg)
Λειτουργία InvisibleFerret’s Pastebin (Πηγή – NVISO Labs)
Μόλις οι προγραμματιστές κατεβάσουν και εκτελέσουν τα έργα χρησιμοποιώντας το Node.js, ξεκινά η αλυσίδα μόλυνσης. Η πραγματική τεχνική εξυπνάδα έγκειται στον τρόπο παράδοσης του κακόβουλου λογισμικού.
Τα αρχεία διαμόρφωσης σε αυτά τα έργα περιέχουν μεταβλητές με κωδικοποίηση base64 που συγκαλύπτουν τις διευθύνσεις URL της υπηρεσίας αποθήκευσης JSON. Όταν αποκωδικοποιούνται, αυτές οι μεταβλητές αποκαλύπτουν συνδέσμους προς το JSON Keeper ή παρόμοιες πλατφόρμες που φιλοξενούν πολύ ασαφή κώδικα JavaScript.
Αυτός ο κώδικας ανακτάται αυτόματα και εκτελείται μέσω νόμιμων λειτουργιών του Node.js, γεγονός που καθιστά δύσκολο για τα παραδοσιακά εργαλεία ασφαλείας να συλλάβουν την επίθεση.
Η ασαφής JavaScript ανακτά το BeaverTail infostealer, το οποίο ειδικεύεται στην κλοπή πληροφοριών πορτοφολιού, δεδομένων συστήματος και πληροφοριών επέκτασης προγράμματος περιήγησης που σχετίζονται με κρυπτονομίσματα.
Μετά την εκτέλεση του BeaverTail, το InvisibleFerret Remote Access Tool αναπτύσσεται σε επόμενα στάδια.
Αυτό το αρθρωτό πλαίσιο, γραμμένο σε Python, διαθέτει πολλαπλές δυνατότητες, όπως εξαγωγή δεδομένων, λήψη δακτυλικών αποτυπωμάτων συστήματος και λήψη πρόσθετων ωφέλιμων φορτίων.
Η αλυσίδα επίθεσης συνεχίζεται σε πολλαπλά στάδια, χρησιμοποιώντας νόμιμες υπηρεσίες όπως το Pastebin και το Railway για να φιλοξενήσει ωφέλιμα φορτία και να αποφύγει τον εντοπισμό.
Αυτό που διακρίνει αυτήν την καμπάνια είναι η περίπλοκη χρήση της νόμιμης υποδομής από τον εισβολέα για την αποφυγή εντοπισμού.
Με τη φιλοξενία κακόβουλου λογισμικού μέσω ευρέως χρησιμοποιούμενων υπηρεσιών αποθήκευσης JSON και αποθετηρίων κώδικα, οι φορείς απειλών διασφαλίζουν ότι η επισκεψιμότητά τους εμφανίζεται κανονική.
Οι οργανισμοί θα πρέπει να είναι ιδιαίτερα προσεκτικοί όταν λαμβάνουν αυτόκλητο κώδικα από υπαλλήλους προσλήψεων ή άγνωστες πηγές.
Η επιθεώρηση αρχείων διαμόρφωσης για ύποπτα κλειδιά API και η παρακολούθηση συμπεριφορών εκτέλεσης του Node.js μπορεί να βοηθήσει στον εντοπισμό και την αποτροπή παρόμοιων επιθέσεων πριν η απειλή εγκατασταθεί στο δίκτυο.
