L’attore della minaccia collegata alla Corea del Nord ha valutato il fatto di essere dietro il MASSIVO hack bybit Nel febbraio 2025 è stato collegato a una campagna dannosa che si rivolge agli sviluppatori per fornire malware di nuovi furti con il pretesto di un incarico di codifica.
L’attività è stata attribuita da Palo Alto Networks Unit 42 a un gruppo di hacking che tiene traccia come Pesci lentiche è anche noto come nevischio di giada, pukchong, tradertraito e UNC4899.
“Pesci lenti impegnati con gli sviluppatori di criptovaluta su LinkedIn, in posa come potenziali datori di lavoro e inviando malware mascherato come sfide di codifica”, il ricercatore della sicurezza Prashil Pattni disse. “Queste sfide richiedono agli sviluppatori di eseguire un progetto compromesso, infettando i loro sistemi usando malware che abbiamo nominato RN Loader e RN Stealer.”
Gradual Pesci ha una storia di concentrating on per gli sviluppatori, in genere nel settore delle criptovalute, avvicinandosi a loro su LinkedIn come parte di una presunta opportunità di lavoro e attirandoli nell’apertura di un documento PDF che descrive in dettaglio l’assegnazione di codifica ospitata su GitHub.
Nel luglio 2023, GitHub rivelato Che i dipendenti che lavorano in blockchain, criptovaluta, gioco d’azzardo on-line e sicurezza informatica sono stati individuati dall’attore di minaccia, ingannandoli nella gestione di pacchetti NPM dannosi.
Poi lo scorso giugno, mandint di proprietà di Google dettagliato Il modus operandi degli aggressori del primo invio agli obiettivi su LinkedIn un documento PDF benigno contenente una descrizione del lavoro per una presunta opportunità di lavoro e seguendolo con un questionario sulle competenze se esprimessero interesse.
Il questionario includeva le istruzioni per completare una sfida di codifica scaricando un progetto Python trojanizzato da GitHub che, sebbene apparentemente in grado di visualizzare i prezzi delle criptovaluta, è stato progettato per contattare un server remoto per recuperare un carico utile del secondo stadio non specificato se sono soddisfatte determinate condizioni.
La catena di attacco a più stadi documentata dall’unità 42 segue lo stesso approccio, con il payload dannoso inviato solo a obiettivi validati, probabilmente in base all’indirizzo IP, alla geolocalizzazione, al tempo e alle intestazioni di richieste HTTP.
“Concentrarsi su persone contattate tramite LinkedIn, al contrario di ampie campagne di phishing, consente al gruppo di controllare strettamente le fasi successive della campagna e consegnare carichi utili solo alle vittime attese”, ha detto Pattni. “Per evitare le funzioni di Eval e Exec sospette, le lente usi dei Pesci Deserializzazione di Yaml per eseguire il suo carico utile. “
Il payload è configurato per eseguire una famiglia di malware denominata RN Loader, che invia informazioni di base sulla macchina delle vittime e sul sistema operativo su HTTPS allo stesso server e riceve ed esegue un BLOB codificato da base 64 in fase successiva.
Il malware appena scaricato è RN Stealer, un furto di informazioni in grado di raccogliere informazioni sensibili dai sistemi Apple MacOS infetti. Ciò embrace metadati di sistema, applicazioni installate, elenco di listing e contenuti di alto livello della listing house della vittima, il portachiavi iCloud, le chiavi SSH memorizzate e i file di configurazione per AWS, Kubernetes e Google Cloud.
“L’Infostealer raccoglie informazioni più dettagliate sulla vittima, che probabilmente gli aggressori hanno usato per determinare se avevano bisogno di un accesso continuo”, ha detto l’unità 42.
Le vittime mirate che richiedono un ruolo di JavaScript, allo stesso modo, sono invitate a scaricare un progetto “CryptCurrency Dashboard” da GitHub che impiega una strategia simile in cui il server C2 (C2) serve solo ulteriori payload quando gli obiettivi soddisfano determinati criteri. Tuttavia, la natura esatta del payload è sconosciuta.
“Il repository utilizza il Strumento di modelli JavaScript (EJS) incorporatoPassando le risposte dal server C2 alla funzione EJs.Render (), “ha sottolineato Pattni.” Come l’uso di Yaml.load (), questa è un’altra tecnica che i Pesci lenta impiega per nascondere l’esecuzione del codice arbitrario dai suoi server C2, e questo metodo è forse solo evidente quando si visualizza un carico utile valido. “
Il nevischio di giada è uno tra i tanti Cluster di attività di minaccia nordcoreana Per sfruttare le esche a tema opportunità di lavoro come vettore di distributore di malware, gli altri sono Operation Dream Job, Intervista contagiosaE Pesci seducenti.
“Questi gruppi non presentano sovrapposizioni operative. Tuttavia, queste campagne che fanno uso di vettori di infezione iniziale simili sono degni di nota”, ha concluso l’unità 42. “I Pesci lenti si distinguono dalle campagne dei loro coetanei in sicurezza operativa. La consegna dei payload in ogni fase è fortemente protetta, esistente solo in memoria. E gli strumenti della fase successiva del gruppo vengono distribuiti solo quando necessario.”
