En un comunicado reciente, Github alerta sobre campañas de ingeniería social contra personal de firmas de tecnología. La campaña se atribuye al grupo de actores maliciosos denominado “Lazarus” quienes hacen uso de usuarios falsos y reclutas mediante Github y otras redes sociales.
Dicha campaña ha sido atribuida al grupo de actores maliciosos Lazarus, también conocidos como Jade Sleet, quienes previamente se han visto asociados a ataque conducidos por Corea del Norte. Este grupo de actores maliciosos es reconocido por tener como objetivo principalmente, usuarios relacionados a la cripto divisa, entre otras organizaciones de blockchain.
Según lo expresa Github, se han podido identificar campañas de ingeniería social que tienen como objetivos cuentas de personal relacionada a firmas de tecnología, mediante el uso combinado de invitaciones a repositorios y paquetes npm maliciosos. Donde algunas de las cuentas se encuentran cuentas relacionadas a sectores de blockchain, crypto y apuestas.
En las observaciones también resalta el hecho de que varios de los objetivos bajo esta campaña, pertenecen al sector de ciberseguridad, a su vez se señalaba el hecho que ningún sistema de Github o npm se han visto comprometidos.
Todo inicia con el atacante, que en este caso personifica a alguien más, inicia una conversación con desarrolladores y empleados de los distintos sectores descritos anteriormente (cripto, apuestas, ciberseguridad) por lo regular, esta interacción se conlleva al uso de otras plataformas, como por ejemplo Whatsapp, la cual fuera utilizada en campañas anteriores.
Mediante técnicas de ingeniería social, los atacantes logran establecer cierta confianza con el objetivo, lo que conlleva a una invitación por parte del atacante a que la victima forme parte de un proyecto colectivo, y clone un repositorio de GitHub, dedicado a los reproductores multimedia y las herramientas de negociación de criptomonedas.
El problema radica en dicho proyecto compartido, pues este utiliza dependencias NPM maliciosas que permiten descargas posteriores de malware en los dispositivos objetivo. Este paquete NPM actúa como un descargador de malware en las primeras fases, este conecta a sitios remotos en busca de payloads adicionales para ejecutar en maquinas infectadas.
Según lo resaltan los investigadores, el ataque en particular se destaca por los requisitos únicos de este, como lo demuestra el orden de instalación específico de dos paquetes distintos en la misma máquina. Sumado a que los componentes maliciosos se mantienen fuera de la vista, pues se almacenan en sus servidores y se envían dinámicamente durante la ejecución.
Entre algunas de las acciones implementadas por github, se encuentra la suspensión de todas las cuentas NPM y github relacionadas, así como la publicación de una lista completa de indicadores relativos a los dominios implicados,
Las observaciones revelan ciertas similitudes entre esta campaña y otras llevadas a cabo por el grupo de actores maliciosos denominados “Lazarus” en enero de 2021, en donde los actores maliciosos realizaron ingeniería social haciéndose pasar por investigadores de seguridad en redes sociales con la finalidad de infectar a los objetivos con malware.
En dicha campaña, los actores que suplantaban investigadores de ciberseguridad convencían a la victima de colaborar en el desarrollo de vulnerabilidades, distribuyendo proyectos maliciosos de Visual Studio para supuestos exploits de vulnerabilidades que instalaban un backdoor personalizado.
Como medidas de mitigación a este tipo de actividades, github recomienda tener cuidado a la hora de clonar o descargar contenidos asociados a una de las cuentas listadas a continuación:
- GalaxyStar Team
- Cryptowares
- Cryptoinnowise
- netgolden
o bien, las siguientes cuentas NPM maliciosas:
- charlestom2023
- eflodzumibreathbn
- galaxystardev
- khasmatulin.76
- hydsapprokoennl
- leimudkegoraie3
- leshakov-mikhail
- linglidekili9g
- bakhromkina
- mayvilkushiot
- outmentsurehauw3
- paupadanberk
- pormokaiprevdz
- goga
- teticseidiff51
- toimanswotsuphous
- ufbejishisol
