- 27,473
- 46
- 8 Ноя 2022
Разбираем схему новой северокорейской кибератаки по шагам.
Северокорейские хакеры запустили новую масштабную кампанию против разработчиков программного обеспечения, используя поддельные вакансии и предложения проверить чужой код. По данным компании Proofpoint, злоумышленники уже атаковали сотрудников почти ста организаций из финансового, технологического, образовательного и криптовалютного секторов. Специалисты отслеживают активность под названием UNK_DeadDrop.
Кампания строится вокруг популярных платформ для совместной разработки. Потенциальным жертвам отправляют электронные письма с предложением работы или просьбой проверить открытый проект. В письмах содержатся ссылки на репозитории GitHub , которые выглядят как настоящие технические задания, инструменты для работы с криптовалютами или проекты, связанные с искусственным интеллектом.
После загрузки репозитория разработчику предлагают открыть проект в редакторе Visual Studio Code или Cursor. Внутри скрыт специальный файл задач, который может автоматически запускать вредоносные сценарии. Особенно опасной оказалась среда Cursor. Если Visual Studio Code обычно предупреждает пользователя перед запуском подобных задач, то Cursor выполняет их сразу после открытия проекта без дополнительных запросов.
Дальнейшее развитие атаки зависит от операционной системы. На компьютерах под управлением Linux и macOS устанавливается модифицированная версия открытого инструмента Overlord, превращающая устройство в удалённо управляемый узел. На Windows используется другой подход. Вредоносный код запускается внутри компонентов самого редактора и старается не оставлять заметных следов на диске.
Главная цель атакующих – украсть цифровые активы и учётные данные. Вредоносные программы собирают содержимое криптовалютных кошельков, данные расширений браузеров, сохранённые пароли, файлы авторизации и другую ценную информацию. На macOS и Linux злоумышленники дополнительно выводят поддельные системные окна, чтобы получить пароль пользователя, после чего пытаются получить расширенные привилегии и извлечь данные из системных хранилищ ключей.
За шесть недель специалисты зафиксировали более 250 фишинговых писем. В качестве прикрытия использовались названия реальных компаний и вымышленных криптовалютных проектов. Среди приманок встречались предложения о вакансиях Full-Stack Engineer и Agent Lead Developer, просьбы проверить программный код, а также задания протестировать инструменты для разработки смарт-контрактов. Позже злоумышленники начали распространять проекты, связанные с платёжными системами для ИИ-агентов.
По набору методов UNK_DeadDrop напоминает известную северокорейскую кампанию Contagious Interview , которая также охотилась за разработчиками и криптовалютными активами. Однако специалисты Proofpoint отмечают ряд отличий. Новая группа делает ставку на массовые рассылки по электронной почте, использует собственную инфраструктуру и распространяет вредоносные компоненты прямо внутри репозиториев, не полагаясь на внешние серверы, чтобы загружать полезную нагрузку.
Авторы отчёта считают, что северокорейские операции против разработчиков становятся более масштабными и организованными. Переходя от точечных контактов через социальные сети к крупным почтовым кампаниям, злоумышленники охватывают больше потенциальных жертв, а применяя доверенные инструменты разработки, обходят подозрения и защитные механизмы.
Северокорейские хакеры запустили новую масштабную кампанию против разработчиков программного обеспечения, используя поддельные вакансии и предложения проверить чужой код. По данным компании Proofpoint, злоумышленники уже атаковали сотрудников почти ста организаций из финансового, технологического, образовательного и криптовалютного секторов. Специалисты отслеживают активность под названием UNK_DeadDrop.
Кампания строится вокруг популярных платформ для совместной разработки. Потенциальным жертвам отправляют электронные письма с предложением работы или просьбой проверить открытый проект. В письмах содержатся ссылки на репозитории GitHub , которые выглядят как настоящие технические задания, инструменты для работы с криптовалютами или проекты, связанные с искусственным интеллектом.
После загрузки репозитория разработчику предлагают открыть проект в редакторе Visual Studio Code или Cursor. Внутри скрыт специальный файл задач, который может автоматически запускать вредоносные сценарии. Особенно опасной оказалась среда Cursor. Если Visual Studio Code обычно предупреждает пользователя перед запуском подобных задач, то Cursor выполняет их сразу после открытия проекта без дополнительных запросов.
Дальнейшее развитие атаки зависит от операционной системы. На компьютерах под управлением Linux и macOS устанавливается модифицированная версия открытого инструмента Overlord, превращающая устройство в удалённо управляемый узел. На Windows используется другой подход. Вредоносный код запускается внутри компонентов самого редактора и старается не оставлять заметных следов на диске.
Главная цель атакующих – украсть цифровые активы и учётные данные. Вредоносные программы собирают содержимое криптовалютных кошельков, данные расширений браузеров, сохранённые пароли, файлы авторизации и другую ценную информацию. На macOS и Linux злоумышленники дополнительно выводят поддельные системные окна, чтобы получить пароль пользователя, после чего пытаются получить расширенные привилегии и извлечь данные из системных хранилищ ключей.
За шесть недель специалисты зафиксировали более 250 фишинговых писем. В качестве прикрытия использовались названия реальных компаний и вымышленных криптовалютных проектов. Среди приманок встречались предложения о вакансиях Full-Stack Engineer и Agent Lead Developer, просьбы проверить программный код, а также задания протестировать инструменты для разработки смарт-контрактов. Позже злоумышленники начали распространять проекты, связанные с платёжными системами для ИИ-агентов.
По набору методов UNK_DeadDrop напоминает известную северокорейскую кампанию Contagious Interview , которая также охотилась за разработчиками и криптовалютными активами. Однако специалисты Proofpoint отмечают ряд отличий. Новая группа делает ставку на массовые рассылки по электронной почте, использует собственную инфраструктуру и распространяет вредоносные компоненты прямо внутри репозиториев, не полагаясь на внешние серверы, чтобы загружать полезную нагрузку.
Авторы отчёта считают, что северокорейские операции против разработчиков становятся более масштабными и организованными. Переходя от точечных контактов через социальные сети к крупным почтовым кампаниям, злоумышленники охватывают больше потенциальных жертв, а применяя доверенные инструменты разработки, обходят подозрения и защитные механизмы.
- Источник новости
- www.securitylab.ru
