Álcázott fejlesztői feladatok
A hekkerek ál-vállalatokat hoznak létre a blockchain és a kriptokereskedelem területén, majd LinkedInen, Facebookon vagy Redditen keresnek tehetséges fejlesztőket. Az állásra jelentkezőknek egy projektet kell futtatniuk, hibakeresniük és fejleszteniük, amivel valójában veszélyes kódot telepítenek a saját gépükre. A támadók apró, de ártó szándékú függőségeket építenek be ismert könyvtárakba, amelyeket a fejlesztőknek át kell nézniük vagy futtatniuk.
Legális platformokon terjedő fertőzés
A függőségeket jól ismert webhelyeken, például az npm-en és a PyPI-n teszik közzé, így azok hivatalosnak tűnnek. A kutatók 192 ilyen veszélyes csomagot tártak fel, főként Graphalgo néven. A hamis csomagok gyakran népszerű könyvtárak nevével álcázzák magukat, például a graphlibével. Decembertől a csalók azonban olyan neveket kezdtek használni, amelyekben a “big” is szerepel, például a “bigmathutils” – ez egy ideig ártalmatlan volt, majd egy frissítésben káros elemeket tartalmazott, végül eltűnt az oldalról.
Áttételes fertőzés és pénzlopás
A hekkerek GitHub-szervezeti fiókokat is használnak; innen közvetlenül nem kerül fel veszélyes kód, csak a rejtett függőségeken át. Aki a feladatot követi, az a rendszerébe egy hátsó ajtót (RAT) telepít, amely listázza a futó folyamatokat, végrehajtja a vezérlőszerver utasításait, fájlokat szivárogtathat, további kártevőket tölthet le.
A RAT ellenőrzi, hogy van-e MetaMask kriptobővítmény a böngészőben, ami a pénzszerzés valódi céljára utal. A fertőzés jól el van rejtve: a vezérlés tokennel védett, és a kártékony kódok több nyelven is, JavaScriptben, Pythonban és VBS-ben jelentek meg.
Kik állnak mögötte?
A támadássorozat – amelynek végrehajtója a Lazarus-csoport lehet – több jellegzetességben egyezik az észak-koreai támadásokkal: türelem, először ártalmatlan, majd fertőző kódok, kriptovaluták elleni támadás, tokiói időzónához igazított fejlesztés. Bárki, aki telepítette az ezekhez tartozó függőségeket, cserélje le az összes jelszavát és API-tokenjét, és telepítse újra az operációs rendszerét.
