Lazarus Group توسعه دهندگان را در کمپین جدید سرقت اطلاعات هدف قرار می دهد

محققان SecurityScorecard فاش کرده اند که گروه بدنام لازاروس تحت حمایت ،ت کره شمالی، توسعه دهندگان نرم افزار را در یک کمپین مداوم هدف قرار می دهد.

این کمپین با نام "عملیات 99" در 9 ژانویه شناسایی شد. این برنامه برای سرقت داده های حساس از محیط های توسعه دهنده، از جمله کد منبع، اسرار، فایل های پیکربندی و کلیدهای کیف پول رمزنگاری طراحی شده است.

محققان گفتند که این کمپین نشان دهنده تحولی در تاکتیک های گروه Lazarus، از جمله تغییر از تلاش های فیشینگ در مقیاس بزرگ به حملات هدفمند به توسعه دهندگان در زنجیره تامین فناوری است.

این تجزیه و تحلیل همچنین ارتقاء ب،زارهای مورد استفاده توسط این گروه را برجسته کرد، مانند افزایش قابلیت های پارازیت و سازگاری.

محققان توانستند قرب،ان آسیب دیده را در سراسر جهان شناسایی کنند و دامنه وسیع این کمپین را برجسته کنند.

این کمپین بخشی از تلاش های گسترده تر این گروه برای ،ب درآمد برای رژیم کره شمالی است.

SecurityScorecard نوشت: «تمرکز این کمپین بر توسعه دهندگان منع، کننده یک تحول استراتژیک است، مهاجمان به طور غیرمستقیم پروژه ها و سازمان هایی را که توسعه دهندگان حمایت می کنند در معرض خطر قرار می دهند.»

اکنون بخو،د: گروه Lazarus توسعه دهندگان را در کمپین جدید VMConnect هدف قرار می دهد

توسعه دهندگان مستقل در تیررس قرار دارند

این کمپین به طور خاص بر توسعه دهندگ، متمرکز است که به دنبال کار آزاد در بخش های ارزهای دیجیتال هستند.

زم، شروع می شود که مهاجمان در پلتفرم هایی مانند لینکدین در مورد پروژه های برنامه نویسی مرتبط با طرح های استخدام جعلی به ،وان استخدام کننده ظاهر می شوند و با اه، تماس می گیرند. اینها شامل تست پروژه و بررسی کد می باشد.

محققان خاطرنشان ،د که این در تضاد با کمپینی است که Lazarus در اکتبر 2024 توسعه دهندگان را هدف قرار داده بود، که جویندگان کار را با شرح شغل جعلی هدف قرار می داد.

در حمله جدید، قرب، هدایت می شود تا یک م،ن م،ب GitHub به نام «Webapp Promotion Coin» را شبیه سازی کند.

هنگامی که قرب، کد را از م،ن اجرا می کند، به سرورهای Command and Control (C2) متصل می شود که توسط ارائه دهنده Stark Industries Solutions Ltd میزب، می شود.

آدرس IP ارائه دهنده و میزبان های سرور آپاچی برای تحویل بارهای مختلف پیکربندی شده اند که برای اجرای مرحله دوم روی دستگاه قرب، طراحی شده اند.

سرورهای C2 از اسکریپت های Pyt،n بسیار مبهم استفاده می کنند که اغلب با ZLIB فشرده می شوند تا از شناسایی جلوگیری کنند.

این زیرساخت همچنین به صورت پویا ب،زار را برای اه، خاص سفارشی می کند و از سازگاری با سیستم عامل و محیط قرب، اطمینان می دهد. چارچوب م،ار این ب،زار را قادر می سازد تا در چندین پلتفرم از جمله ویندوز، macOS و لینو، کار کند.

این کمپین یک سیستم م،ب چند مرحله ای با اجزای م،ار را برای سرقت طیف وسیعی از داده های حساس از دستگاه توسعه دهنده به کار می گیرد. این ب،زار شامل:

• Main99: دانلودی که به سرورهای C2 متصل می شود تا بارهای اضافی را بازیابی کند
• Payload99/73: ایمپلنت هایی با قابلیت keylogging، نظارت بر کلیپ بورد و فیلتر ، فایل ها
• Brow99/73: رباتی که برای سرقت اطلاعات کاربری مرورگر، مانند رمزهای عبور، با استفاده از زنجیره کلید طراحی شده است.
• MCLIP: یک ایمپلنت اختصاصی برای نظارت بر صفحه کلید و کلیپ بورد

محققان خاطرنشان ،د که با ادغام ب،زار در جریان کار توسعه دهندگان، مهاجمان نه تنها می توانند قرب،ان فردی را در معرض خطر قرار دهند، بلکه می توانند پروژه ها و سیستم هایی را که در آنها مشارکت دارند نیز در معرض خطر قرار دهند.

از توسعه دهندگان بخواهید که اقدامات امنیتی پیشگیرانه را اتخاذ کنند

SecurityScorecard گفت این کمپین آسیب پذیری های موجود در ا،یستم توسعه دهنده را برجسته می کند که حاوی دارایی های م،وی و دیجیتالی ارزشمند است.

این شرکت از سازمان ها خواست تا اقدامات امنیتی پیشگیرانه را برای مق، با تهدیدات اتخاذ کنند. آنها باید:

• استقرار اعتبار سنجی م،ن کد پیشرفته، مانند اسکن مخازن Git قبل از شبیه سازی
• از راه حل های امنیتی نقطه پای، پیشرفته برای شناسایی فعالیت غیرعادی استفاده کنید
• استخدام کنندگان و پیشنهادات شغلی را در پلتفرم هایی مانند لینکدین بررسی کنید
• تج، توسعه دهندگان به دانش تشخیص پرچم قرمز در ایمیل ها، مخازن و پروفایل های لینکدین