GitHub poleca ostrożność podczas szukania pracy. Na platformie prowadzona jest operacja, wymierzona przeciwko programistom.
Na programistów z pewnych branż zastawione zostało mnóstwo pułapek. Cyberprzestępcy oszukują deweloperów zajmujących się blockchainem, kryptowalutami, hazardem online i cyberbezpieczeństwem, by dostać się na ich komputery. To, co wygląda jak proces rekrutacyjny, może być poważnym oszustwem, prowadzących do wycieku danych z firm dużego kalibru.
Cyberprzestępcy włamują się na konta należące do prawdziwych rekruterów lub tworzą fikcyjne persony. Następnie przyciągają uwagę swoich celów, obiecując ciekawą i dobrze płatną pracę. Nawiązują kontakt z wybranymi ofiarami, korzystając z komunikacji przez portale społecznościowe w połączeniu z zaproszeniem do repozytorium kodu na GitHubie.
Gdy programista połknie haczyk, atakujący przekonują do współpracy nad projektem (zwykle to odtwarzacz multimedialny albo portfel kryptowalut) i pobrania kodu z repozytorium. Dopiero teraz docieramy do technicznego element ataku – w zależnościach projektu znajduje szkodliwy odnośnik do zewnętrznego pakietu, wyglądającego jak zwykła biblioteka NPM dla środowiska Node.js. To pierwszy etap ataku, bo dopiero dalsze zależności ściągają szkodliwy program pod przykrywką bibliotek potrzebnych do uruchomienia projektu.
Ataki tego typu zostały przeanalizowane wcześniej przez specjalistów z Phylium, ale niestety nie udało się uzyskać próbki szkodliwego oprogramowania z kolejnych kroków. Atakujący bardzo dobrze unikają wykrycia, co sugeruje, że mają zaawansowane procesy i dobrą koordynację… a więc sporo pieniędzy.
GitHub zablokował wszystkie podejrzane konta i opublikował listę cech, domen i bibliotek NPM, z jakimi udało się powiązać ataki socjotechniczne na programistów.
Kampania ta jest bardzo podobna do prowadzonej w styczniu 2021. Wtedy to północnokoreańska grupa Lazarus atakowała analityków bezpieczeństwa za pośrednictwem mediów społecznościowych. Fałszywa persona przekonywała ofiarę do współpracy nad luką, do czego niezbędne było otwarcie projektu Visual Studio z backdoorem. W marcu tego samego roku cyberprzestępcy stworzyli fałszywą firmę SecuriElite, by przyciągnąć specjalistów i podrzucić im „niespodziankę”.
Grupa Lazarus znana jest też z wykradania kryptowalut, by finansować działania reżimu. Było to możliwe dzięki publikacji licznych portfeli i aplikacji do handlowania krypto z ukrytymi trojanami. W kwietniu 2022 roku ukradli Ethereum i USDC o wartości ponad 617 mln dolarów. Częścią ataku była… lukratywna oferta pracy, wysłana do jednego z inżynierów blockchaina, zapisana jako PDF z trojanem.
Zobacz: Myślisz, że to propozycja pracy? Nie, to szpiedzy chcą dane twojej firmy
W 2020 roku w podobny sposób atakowani byli pracownicy amerykańskiego sektora obrony i lotnictwa. To prawdopodobnie również dzieło Lazarusa.
Źródło zdjęć: Pixel-Shot / Shutterstock
Źródło tekstu: GitHub, Phylium, własne
