JavaScript Stealer de plataforma cruzada alvo as carteiras de cripto

A Coréia do Norte ligada Grupo Lazarus Foi vinculado a uma campanha ativa que aproveita as ofertas falsas de emprego no LinkedIn nos setores de criptomoeda e viagens para fornecer malware capazes de infectar janelas, macOS e sistemas operacionais Linux.

De acordo com a empresa de segurança cibernética Bitdefender, o golpe começa com uma mensagem enviada em uma rede profissional de mídia social, atraindo-os com a promessa de trabalho remoto, flexibilidade de meio período e bons salários.

“Depois que o alvo expressa interesse, o ‘processo de contratação’ se desenrola, com o golpista solicitando um currículo ou mesmo um link pessoal do repositório do GitHub”, disse a empresa romena em um relatório compartilhado com o Hacker News.

“Embora aparentemente inocente, esses pedidos podem servir a propósitos nefastos, como a colheita de dados pessoais ou a emprestação de um verniz de legitimidade à interação”.

Depois que os detalhes solicitados são obtidos, o ataque se move para a próxima etapa, onde o ator de ameaças, sob o disfarce de um recrutador, compartilha um link para um repositório Github ou Bitbucket contendo uma versão mínima viável de produto (MVP) de uma suposta troca descentralizada ( Dex) Projeto e instrui a vítima a conferir e fornecer seus comentários.

Presente dentro do código está um script ofuscado que está configurado para recuperar uma carga útil do próximo estágio da api.npoint[.]IO, um ladrão de informações JavaScript de plataforma cruzada capaz de colher dados de várias extensões de carteira de criptomoeda que podem ser instaladas no navegador da vítima.

O ladrão também funciona como um carregador para recuperar um backdoor baseado em Python, responsável pelo monitoramento de alterações no conteúdo da área de transferência, mantendo o acesso remoto persistente e descartando malware adicional.

Nesta fase, vale a pena notar que as táticas documentadas pela exposição Bitdefender se sobrepõem a um cluster de atividades de ataque conhecido apelidado de entrevista contagiosa (também conhecida como DeceptivedEsevelopment e Dev#Popper), que foi projetado para soltar um ladrão de JavaScript chamado Beavertil e Python implantado como invisibleFerretret. .

O malware implantado por meio do malware python é um binário .NET que pode baixar e iniciar um servidor proxy do Tor para se comunicar com um servidor de comando e controle (C2), exfiltrar as informações básicas do sistema e fornecer outra carga útil que, por sua vez , pode desviar dados sensíveis, teclas de log e iniciar um mineiro de criptomoeda.

“A cadeia de infecção dos atores de ameaças é complexa, contendo software malicioso escrito em várias linguagens de programação e usando uma variedade de tecnologias, como scripts de Python de várias camadas que decodificam e se executam recursivamente, um ladrão de JavaScript que primeiro colhe Mais cargas úteis e estagiários baseados em .NET capazes de desativar ferramentas de segurança, configurar um proxy do Tor e lançar mineradores de criptografia ”, disse o Bitdefender.

Há evidências que sugerem que esses esforços são bastante difundidos, passando por relatórios compartilhados no LinkedIn e Reddit, com pequenos ajustes na cadeia de ataque geral. Em alguns casos, os candidatos são solicitados a clonar um repositório do Web3 e executá -lo localmente como parte de um processo de entrevista, enquanto em outros eles são instruídos a corrigir bugs introduzidos intencionalmente no código.

Um dos repositórios do Bitbucket em questão refere -se a um projeto chamado “miketoken_v2”. Não é mais acessível na plataforma de hospedagem de código.

A divulgação ocorre um dia depois que a SentineLone revelou que a campanha de entrevista contagiosa está sendo usada para fornecer outro malware com o codinome FlexibleFerret.