- Die Lazarus Group nutzte JSON-Speicherdienste zum Hosten von Malware in der Kampagne „Contagious Interview“, die sich an Entwickler richtete
- Angreifer lockten Opfer über gefälschte LinkedIn-Stellenangebote und lieferten BeaverTail-, InvisibleFerret- und TsunamiKit-Malware
- Malware exfiltriert Daten, stiehlt Krypto und schürft Monero – und fügt sich dabei in normale Entwicklungsabläufe ein
Es wurde beobachtet, dass nordkoreanische staatlich geförderte Bedrohungsakteure, die zur berüchtigten Lazarus-Gruppe gehören, Malware und anderen Schadcode auf JSON-Speicherdiensten hosten.
Die Cybersicherheitsforscher NVISIO gaben an, sie hätten gesehen, wie Angreifer JSON Keeper, JSONsilo und npoint.io verwendeten, um bei ihren Angriffen unentdeckt und hartnäckig zu bleiben.
Die Angriffe scheinen Teil der Kampagne „Contagious Interview“ zu sein. Darin erstellten die Täter zunächst gefälschte LinkedIn-Profile und wandten sich entweder mit verlockenden Stellenangeboten an Softwareentwickler oder baten um Hilfe bei einem Programmierprojekt. Während des Hin und Her forderten die Gauner die Opfer auf, ein Demoprojekt von GitHub, GitLab oder Bitbucket herunterzuladen.
Einsatz von Infostealern und Hintertüren
Nun sagte NVISIO, dass es in einem der Projekte einen Base64-codierten Wert gefunden habe, der, obwohl er wie ein API-Schlüssel aussieht, tatsächlich eine URL zu einem JSON-Speicherdienst ist. Im Speicher fanden sie BeaverTail – eine Infostealer-Malware und einen Loader, der eine Python-Hintertür namens InvisibleFerret installierte, sowie TsunamiKit.
Letzteres ist ein in Python und .NET geschriebenes mehrstufiges Malware-Toolkit, das entweder als Infostealer oder als Kryptojacker dienen kann, der XMRig auf dem kompromittierten Gerät installiert und es zum Mining der Monero-Währung zwingt. Einige Forscher sagten auch, sie hätten BeaverTrail beim Einsatz von Tropidoor und AkdoorTea entdeckt.
„Es ist klar, dass die Akteure hinter Contagious Interview nicht hinterherhinken und versuchen, ein sehr weites Netz auszuwerfen, um jeden (Software-)Entwickler zu kompromittieren, der ihnen interessant erscheinen könnte, was zur Exfiltration sensibler Daten und Krypto-Wallet-Informationen führt“, warnten die Forscher.
„Die Verwendung legitimer Websites wie JSON Keeper, JSON Silo und npoint.io sowie von Code-Repositories wie GitLab und GitHub unterstreicht die Motivation und die anhaltenden Versuche des Akteurs, heimlich zu agieren und sich in den normalen Datenverkehr einzufügen.“
Über Die Hacker-News
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
