Медлительные Рыбы Обманывают Разработчиков Криптовалюты С Помощью Фальшивых Вакансий

Северокорейская хакерская группа, известная как Slow Pisces, обманывает разработчиков криптовалют, заставляя их запускать вредоносный код, маскирующийся под задачи от претендентов на вакансии.

Группа, известная также как Jade Sleet или TraderTraitor, украла более $1 миллиарда в криптоактивах и продолжает осуществлять сложные атаки с целью генерации дохода для режима КНДР.

Согласно исследованиям специалистов по кибербезопасности из Palo Alto Networks’ Unit 42, Slow Pisces связывается с разработчиками на LinkedIn, притворяясь рекрутерами. После начала разговора они отправляют поддельное описание работы в PDF. Если жертва откликается, ей отправляют тест на написание кода, который включает в себя «реальный проект», размещенный на GitHub. Этот проект наполнен вредоносным программным обеспечением.

Эти поддельные проекты часто выглядят законными и даже извлекают данные с реальных сайтов, таких как Википедия. Но среди источников скрыт один злонамеренный сайт, контролируемый хакерами. Вредоносное программное обеспечение активируется только после подтверждения местоположения цели и деталей системы, что позволяет Slow Pisces избежать обнаружения.

Вместо использования очевидных хакерских трюков, которые системы безопасности могут легко обнаружить, злоумышленники использовали более изощренный метод, называемый десериализацией YAML. В основном, они скрывают опасный код внутри того, что выглядит как безобидные файлы настроек, что усложняет его обнаружение.

После установки вредоносное ПО работает в памяти и не оставляет следов на жестком диске. Оно загружает дополнительное вредоносное ПО, называемое RN Loader и RN Stealer. RN Loader собирает базовые системные данные, в то время как RN Stealer собирает более чувствительную информацию, такую как имена пользователей, установленные приложения и содержимое директорий, особенно с систем macOS.

Компания Palo Alto Networks сообщила о злонамеренных аккаунтах на LinkedIn и GitHub. Обе платформы ответили:

«GitHub и LinkedIn удалили эти злонамеренные аккаунты за нарушение наших соответствующих условий предоставления услуг […] Мы продолжаем совершенствовать и улучшать наши процессы и призываем наших клиентов и пользователей сообщать о любой подозрительной активности».

Эксперты в области безопасности рекомендуют разработчикам быть осторожными с незапрошенными задачами по программированию и проверять URL-адреса, указанные в тестовых заданиях для работы.