HackerNews 编译,转载请注明出处:
与朝鲜有关的威胁行为者被认为是2025年2月Bybit大规模黑客攻击的幕后黑手,如今又被发现与一场针对开发者的恶意活动有关。该活动以编程任务为幌子,传播新型窃密恶意软件。
Palo Alto Networks的Unit 42团队将这一活动归因于其追踪的黑客组织“Slow Pisces”,该组织也被称为Jade Sleet、PUKCHONG、TraderTraitor和UNC4899。
“Slow Pisces在LinkedIn上与加密货币开发者接触,伪装成潜在雇主,并发送伪装成编程挑战的恶意软件,”安全研究员Prashil Pattni表示,“这些挑战要求开发者运行一个被篡改的项目,利用我们命名为RN Loader和RN Stealer的恶意软件感染他们的系统。”
Slow Pisces有针对开发者的先例,通常是在加密货币领域,他们通过LinkedIn以工作机会为名接触开发者,诱使他们打开一个托管在GitHub上、详细介绍编程任务的PDF文件。
2023年7月,GitHub披露,从事区块链、加密货币、在线赌博和网络安全行业的员工被该威胁行为者盯上,欺骗他们运行恶意的npm软件包。
2024年6月,谷歌旗下的Mandiant详细描述了攻击者的作案手法:他们首先在LinkedIn上向目标发送一份看似无害、包含工作描述的PDF文件,声称是某个工作机会的介绍;如果目标表现出兴趣,再发送一份技能调查问卷。
这份问卷要求目标通过从GitHub下载一个被篡改的Python项目来完成编程挑战。该项目表面上可以查看加密货币价格,但如果满足某些条件,它会联系远程服务器以获取一个未指明的第二阶段载荷。
Unit 42记录的多阶段攻击链采用了相同的手法,恶意载荷仅发送给经过验证的目标,很可能是基于IP地址、地理位置、时间以及HTTP请求头信息。
“与广泛撒网的网络钓鱼活动不同,该组织专注于通过LinkedIn联系个人,这使得他们能够严格控制活动的后续阶段,仅向预期受害者提供载荷,”Pattni表示,“为了避免引起怀疑的eval和exec函数,Slow Pisces使用YAML反序列化来执行其载荷。”
该载荷被配置为执行名为RN Loader的恶意软件家族,它通过HTTPS将受害机器和操作系统的相关信息发送到同一服务器,并接收并执行一个经过Base64编码的下一阶段数据块。
新下载的恶意软件是RN Stealer,一种能够从受感染的苹果macOS系统中窃取敏感信息的信息窃密工具。这些信息包括系统元数据、已安装的应用程序、目录列表,以及受害者主目录、iCloud钥匙串、存储的SSH密钥以及AWS、Kubernetes和谷歌云的配置文件的顶层内容。
“信息窃密工具收集了更详细的受害者信息,攻击者很可能会利用这些信息来判断是否需要继续访问,”Unit 42表示。
同样,针对申请JavaScript职位的受害者,他们被要求从GitHub下载一个“加密货币仪表盘”项目,该项目采用了类似的策略:只有当目标满足某些条件时,命令与控制(C2)服务器才会提供额外的载荷。然而,载荷的确切性质尚不清楚。
“该仓库使用了嵌入式JavaScript(EJS)模板工具,将C2服务器的响应传递给ejs.render()函数,”Pattni指出,“就像使用yaml.load()一样,这是Slow Pisces用来隐藏其C2服务器上任意代码执行的另一种手段,而这种方法或许只有在查看有效载荷时才会显现出来。”
Jade Sleet是众多朝鲜威胁活动集群之一,这些集群利用工作机会主题作为恶意软件传播载体,其他类似的活动包括“梦幻工作行动”(Operation Dream Job)、“传染性面试”(Contagious Interview)和“诱人比目鱼”(Alluring Pisces)。
“这些组织之间没有操作上的重叠。然而,这些活动使用类似的初始感染向量是值得注意的,”Unit 42总结道,“Slow Pisces在行动安全方面与同行的活动有所不同。每个阶段的载荷交付都受到严格保护,仅存在于内存中。而且该组织的后期工具仅在必要时才会部署。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
