GitHub memperingatkan kampanye rekayasa sosial yang menargetkan akun pengembang di blockchain, cryptocurrency, perjudian online dan sektor cybersecurity untuk menginfeksi perangkat mereka dengan malware.
Kampanye tersebut terkait dengan kelompok hacker Lazarus yang disponsori oleh Korea Utara yang juga dikenal sebagai Jade Sleet (Microsoft Threat Intelligence) dan TraderTraitor (CISA). Pemerintah AS merilis laporan pada tahun 2022 yang merinci taktik para pelaku ancaman.
Kelompok hacker ini memiliki sejarah yang panjang dalam menargetkan perusahaan cryptocurrency dan peneliti cybersecurity untuk spionase dunia maya dan untuk mencuri mata uang kripto.
Menargetkan pengembang dengan malware
Dalam peringatan keamanan terbaru, GitHub memperingatkan bahwa group Lazarus sedang melakukan upaya untuk mengkompromikan akun-akun yang sah atau menciptakan identitas palsu dengan berpura-pura menjadi pengembang dan perekrut di GitHub dan media sosial.
Peringatan keamanan GitHub menjelaskan, telah mendeteksi sebuah kampanye rekayasa sosial dengan volume rendah yang ditargetkan pada akun pribadi karyawan perusahaan teknologi. Kampanye ini menggunakan metode undangan repositori dan juga menggunakan dependensi package NPM yang berbahaya.
Persona ini digunakan untuk berkomunikasi dan memulai percakapan dengan pengembang dan karyawan yang berada dalam industri cryptocurrency, perjudian online dan cybersecurity. Percakapan ini biasanya diarahkan ke platform lain, seperti WhatsApp.
Setelah membangun kepercayaan dengan target, pelaku ancaman mengundang mereka untuk berkolaborasi dalam sebuah proyek dan mengkloning repositori GitHub bertema media player dan tool cryptocurrency trading.
Namun, GitHub mengatakan proyek ini memanfaatkan dependensi NPM jahat yang mendownload malware lebih lanjut ke perangkat target.
GitHub memberikan peringatan bahwa package NPM yang berbahaya berperan sebagai downloader malware tahap pertama. Mereka merujuk pada laporan bulan Juni yang dibuat oleh Phylum yang memberikan penjelasan lebih rinci mengenai karakteristik dan ancaman dari paket package berbahaya tersebut.
Menurut Phylum, NPM berfungsi sebagai downloader malware yang menghubungkan ke remote site untuk mengambil payload tambahan, yang kemudian dijalankan pada mesin yang telah terinfeksi.
Sayangnya, para peneliti Phylum tidak dapat menerima payload tahap kedua untuk melihat malware terakhir dikirimkan ke perangkat dan menganalisis perilaku berbahaya yang dilakukan.
GitHub mengatakan bahwa mereka telah menangguhkan semua akun NPM dan GitHub dan menerbitkan daftar lengkap indikator terkait domain, akun GitHub dan package NPM yang terkait dengan kampanye.
Kampanye ini mirip kampanye Lazarus yang terjadi pada Januari 2021, dimana para pelaku ancaman menargetkan peneliti keamanan melalui serangan rekayasa sosial menggunakan persona palsu "security researcher" yang rumit di media sosial. Tujuan kampanye tersebut adalah untuk menginfeksi target dengan malware.
Ini dilakukan dengan meyakinkan para peneliti keamanan untuk berpartisipasi dalam pengembangan kerentanan dengan cara mendistribusikan proyek Visual Studio yang berbahaya. Proyek tersebut diduga sebagai alat eksploitasi kerentanan, namun sebenarnya mengandung backdoor yang dirancang secara khusus untuk dimasukkan ke dalam sistem target.
Pada Maret 2021, kampanye serupa dilakukan oleh para hacker ketika mereka menciptakan website untuk perusahaan palsu bernama "SecuriElite." Situs tersebut digunakan sebagai sarana untuk menginfeksi peneliti keamanan dengan malware.
0 Comments
