Οι φορείς απειλών της Βόρειας Κορέας έχουν ξεκινήσει μια εξελιγμένη εκστρατεία κοινωνικής μηχανικής που στοχεύει προγραμματιστές λογισμικού μέσω ψεύτικων προσφορών στρατολόγησης.
Η καμπάνια, γνωστή ως Μεταδοτική Συνέντευξη, χρησιμοποιεί κακόβουλα αποθετήρια που μεταμφιέζονται ως έργα τεχνικής αξιολόγησης για την ανάπτυξη ενός συστήματος κακόβουλου λογισμικού διπλού επιπέδου.
Τα θύματα παρασύρονται μέσω μηνυμάτων στο LinkedIn από ψεύτικους συνεργάτες προσλήψεων που ισχυρίζονται ότι αντιπροσωπεύουν οργανισμούς όπως το Meta2140 και στη συνέχεια κατευθύνονται να κατεβάσουν αποθετήρια που περιέχουν κρυμμένο κακόβουλο κώδικα.
Η επίθεση πραγματοποιείται μέσω μιας προσεκτικά σχεδιασμένης διαδικασίας μόλυνσης δύο σταδίων που έχει σχεδιαστεί για την κλοπή διαπιστευτηρίων, πορτοφόλια κρυπτονομισμάτων και τη δημιουργία μόνιμης απομακρυσμένης πρόσβασης στα συστήματα των θυμάτων.
Το κακόβουλο λογισμικό χρησιμοποιεί πολλαπλούς φορείς μόλυνσης, με το πιο επικίνδυνο να είναι μια κρυφή διαμόρφωση εργασιών VS Code.
Όταν οι προγραμματιστές ανοίγουν το φάκελο του έργου για να ελέγξουν τον κώδικα ή να ενεργοποιήσουν την επιθεώρηση με τη βοήθεια AI, μια κρυφή εργασία εκτελείται αυτόματα χωρίς να απαιτείται άμεση εκτέλεση κώδικα.
Ένα δεύτερο διάνυσμα χρησιμοποιεί λογικά άγκιστρα εφαρμογής ενσωματωμένα στον κώδικα διακομιστή, όπου οι νόμιμες λειτουργίες ενεργοποιούν τη λήψη και εκτέλεση ωφέλιμου φορτίου.
Εάν αποτύχουν και τα δύο, η επίθεση επιχειρεί να εγκαταστήσει μια κακόβουλη εξάρτηση npm. Αυτές οι μέθοδοι εξασφαλίζουν επιτυχή μόλυνση ακόμη και όταν τα θύματα είναι προσεκτικά αποφεύγοντας την άμεση εκτέλεση κώδικα.
Ερευνητές ασφαλείας στη SEAL Intel αναγνωρισθείς και ανέλυσε την εκστρατεία αφού τρία ξεχωριστά θύματα αναζήτησαν βοήθεια μέσα σε έναν μόνο μήνα.
.webp.jpeg "Οι βορειοκορεάτες χάκερ χρησιμοποιούν τακτικές κατάχρησης κώδικα για την καμπάνια «Μεταδοτικής Συνέντευξης».")
Όλα τα θύματα βίωσαν το ίδιο μοτίβο επίθεσης και ανέφεραν σημαντικές οικονομικές απώλειες.
Εξετάζοντας το ιστορικό δεσμεύσεων και τα μεταδεδομένα, οι ερευνητές ανακάλυψαν ότι το κακόβουλο λογισμικό προέρχεται από γνωστούς Βορειοκορεάτες εργαζόμενους στον τομέα της πληροφορικής που διαχειρίζονταν στο παρελθόν δόλια έργα όπως το Ultra-X.
Οι χρονικές σημάνσεις δέσμευσης έδειχναν με συνέπεια τις ρυθμίσεις ζώνης ώρας της Κορέας, επιβεβαιώνοντας περαιτέρω την απόδοση.
Μηχανισμός μόλυνσης
Ο μηχανισμός μόλυνσης λειτουργεί σε διαφορετικά στάδια. Όταν ενεργοποιείται, το κακόβουλο λογισμικό πραγματοποιεί λήψη ενός ελεγκτή Node.js που εκτελείται εξ ολοκλήρου στη μνήμη του συστήματος.
Αυτός ο ελεγκτής αναπτύσσει πέντε εξειδικευμένες μονάδες για την κλοπή ευαίσθητων δεδομένων. Η μονάδα keylogger και στιγμιότυπο οθόνης παρακολουθεί τη δραστηριότητα των χρηστών και ανεβάζει αποτελέσματα στον διακομιστή εντολών του εισβολέα στη διεύθυνση 172.86.116.178.
.webp.jpeg "Οι βορειοκορεάτες χάκερ χρησιμοποιούν τακτικές κατάχρησης κώδικα για την καμπάνια «Μεταδοτικής Συνέντευξης».")
Ένα πρόγραμμα αρπαγής αρχείων σαρώνει τον αρχικό κατάλογο για αρχεία διαμόρφωσης, μυστικά και κλειδιά SSH. Η οθόνη του προχείρου παρακολουθεί διευθύνσεις κρυπτονομισμάτων, ενώ το πρόγραμμα κλοπής του προγράμματος περιήγησης στοχεύει τις βάσεις δεδομένων Chrome, Brave και Opera που περιέχουν διαπιστευτήρια σύνδεσης και πληροφορίες πορτοφολιού.
Τέλος, ένα εργαλείο απομακρυσμένης πρόσβασης συνδέεται με το κέντρο εντολών του εισβολέα χρησιμοποιώντας το socket.io, επιτρέποντας την αυθαίρετη εκτέλεση εντολών φλοιού.
Μετά το στάδιο Node.js, το κακόβουλο λογισμικό αναπτύσσει ωφέλιμα φορτία Python που δημιουργούν ισχυρότερη επιμονή. Ειδικά σε συστήματα Windows, το κακόβουλο λογισμικό δημιουργεί ενέσεις φακέλων εκκίνησης και προγραμματισμένες εργασίες που μιμούνται νόμιμες διαδικασίες των Windows, όπως το RuntimeBroker.exe.
Η μονάδα miner κατεβάζει το λογισμικό εξόρυξης κρυπτονομισμάτων XMRig. Καθ’ όλη τη διάρκεια της εκτέλεσης, το κακόβουλο λογισμικό δημιουργεί κρυφούς καταλόγους σε .npm και φακέλους συστήματος για να σκηνοθετήσει κλεμμένα δεδομένα και να διατηρήσει το έδαφος της μόλυνσης στις επανεκκινήσεις.
Οι προγραμματιστές θα πρέπει να απενεργοποιήσουν αμέσως την αυτόματη εκτέλεση εργασιών VS Code και να ενεργοποιήσουν την επαλήθευση αξιοπιστίας του χώρου εργασίας.
Τα συστήματα που εμφανίζουν σημάδια μόλυνσης, συμπεριλαμβανομένων των κρυφών καταλόγων .n2, .n3 ή .npm απαιτούν πλήρη εναλλαγή διαπιστευτηρίων και μετεγκατάσταση πορτοφολιού κρυπτονομισμάτων σε νέες διευθύνσεις από καθαρές συσκευές.
Τα συστήματα Windows που υποφέρουν από μόλυνση δικαιολογούν την πλήρη επανεγκατάσταση του λειτουργικού συστήματος λόγω μηχανισμών επιμονής σε επίπεδο μητρώου.
