GitHub met en garde contre une campagne d’ingénierie sociale ciblant les comptes des développeurs des secteurs de la blockchain, de la crypto-monnaie, du jeu en ligne et de la cybersécurité pour infecter leurs appareils avec des logiciels malveillants.
La campagne était liée au groupe de piratage Lazarus parrainé par l’État nord-coréen, également connu sous le nom de Jade Sleet (Microsoft Threat Intelligence) et TraderTraitor (CISA). Le gouvernement américain a publié un rapport en 2022 détaillant les tactiques des acteurs de la menace.
Le groupe de piratage a une longue histoire de ciblage des sociétés de crypto-monnaie et des chercheurs en cybersécurité pour le cyberespionnage et pour voler la crypto-monnaie.
Cibler les développeurs avec des logiciels malveillants
Dans une nouvelle alerte de sécurité, GitHub avertit que le groupe Lazarus compromet des comptes légitimes ou crée de faux personnages qui prétendent être des développeurs et des recruteurs sur GitHub et les réseaux sociaux.
« GitHub a identifié une campagne d’ingénierie sociale à faible volume qui cible les comptes personnels des employés d’entreprises technologiques, en utilisant une combinaison d’invitations à un référentiel et de dépendances de packages npm malveillants », a expliqué l’alerte de sécurité GitHub.
Ces personnages sont utilisés pour contacter et initier des conversations avec des développeurs et des employés des secteurs de la crypto-monnaie, des jeux d’argent en ligne et de la cybersécurité. Ces conversations mènent généralement à une autre plate-forme, qui dans les campagnes précédentes était WhatsApp.
Après avoir établi la confiance avec la cible, les acteurs de la menace l’invitent à collaborer sur un projet et à cloner un référentiel GitHub sur le thème des lecteurs multimédias et des outils de trading de crypto-monnaie.
Cependant, GitHub indique que ces projets utilisent des dépendances NPM malveillantes qui téléchargent d’autres logiciels malveillants sur les appareils des cibles.
Bien que GitHub n’ait partagé que les packages NPM malveillants agissent comme un téléchargeur de logiciels malveillants de première étape, ils ont fait référence à un rapport de juin de Phylum qui donne plus de détails sur les NPM malveillants.
Selon Phylum, les NPM agissent comme des téléchargeurs de logiciels malveillants qui se connectent à des sites distants pour que des charges utiles supplémentaires s’exécutent sur la machine infectée.
Malheureusement, les chercheurs de Phylum n’ont pas pu recevoir les charges utiles de la deuxième étape pour voir le logiciel malveillant final livré à l’appareil et analyser le comportement malveillant exécuté.
« Quelle qu’en soit la raison, il est certain que c’est le travail d’un acteur de la menace de la chaîne d’approvisionnement raisonnablement sophistiqué », ont conclu les chercheurs de Phylum.
« Cette attaque se distingue notamment par ses exigences uniques en matière de chaîne d’exécution : un ordre d’installation spécifique de deux packages distincts sur la même machine. »
« De plus, les composants malveillants présumés sont cachés, stockés sur leurs serveurs et distribués dynamiquement lors de l’exécution. »
GitHub dit avoir suspendu tous les comptes NPM et GitHub et publié une liste complète d’indicateurs concernant les domaines, les comptes GitHub et les packages NPM associés à la campagne.
La société souligne également qu’aucun système GitHub ou npm n’a été compromis lors de cette campagne.
Cette campagne est similaire à une campagne Lazarus en janvier 2021, lorsque les acteurs de la menace ont ciblé des chercheurs en sécurité dans des attaques d’ingénierie sociale en utilisant de faux personnages de médias sociaux élaborés de « chercheur en sécurité » pour infecter des cibles avec des logiciels malveillants.
Cela a été fait en convainquant les chercheurs de collaborer au développement de vulnérabilités en distribuant des projets Visual Studio malveillants pour des exploits de vulnérabilité présumés qui ont installé une porte dérobée personnalisée.
Une campagne similaire a été menée en mars 2021 lorsque les pirates ont créé un site Web pour une fausse entreprise nommée SecuriElite afin d’infecter les chercheurs avec des logiciels malveillants.
Autres attaques passées de Lazarus
Les pirates nord-coréens ciblent depuis longtemps les sociétés et les développeurs de crypto-monnaies pour voler des actifs afin de financer les initiatives de leur pays.
Lazarus a commencé à cibler les utilisateurs de crypto-monnaie en diffusant des portefeuilles de crypto-monnaie trojanisés et des applications de trading pour voler les portefeuilles de crypto-monnaie des utilisateurs et les fonds qu’ils contiennent.
En avril 2022, le Trésor américain et le FBI ont lié le groupe Lazarus au vol de plus de 617 millions de dollars de jetons Ethereum et USDC du jeu basé sur la blockchain Axie Infinity.
Il a été révélé plus tard que les acteurs de la menace avaient envoyé un fichier PDF malveillant prétendant être une offre d’emploi lucrative à l’un des ingénieurs de la blockchain dans le cadre de cette attaque.
L’utilisation de fausses opportunités d’emploi pour fournir des logiciels malveillants a également été utilisée dans une campagne de 2020 appelée « Operation Dream Job » qui ciblait les employés d’importantes entreprises de défense et d’aérospatiale aux États-Unis.