Um agente de ameaças norte-coreano foi observado visando funcionários de empresas de tecnologia em uma nova campanha de engenharia social de baixo volume, relata a plataforma de hospedagem de código de propriedade da Microsoft GitHub.
Como parte de os ataques observadosos funcionários são convidados a colaborar nos repositórios do GitHub que contêm software que busca pacotes NPM maliciosos destinados a infectar os computadores das vítimas pretendidas com malware adicional.
“Muitas dessas contas direcionadas estão conectadas aos setores de blockchain, criptomoeda ou jogos de azar online. Alguns alvos também foram associados ao setor de segurança cibernética. Nenhum sistema GitHub ou npm foi comprometido nesta campanha”, diz a plataforma de hospedagem de código.
O GitHub está confiante de que a campanha em andamento é perpetrada por um agente de ameaças norte-coreano rastreado como Jade Sleet, também conhecido como TraderTraitor.
Para orquestrar os ataques, Jade Sleet se faz passar por um desenvolvedor ou recrutador, criando contas falsas no GitHub, LinkedIn, Slack e Telegram ou assumindo o controle de contas legítimas.
Essas contas são usadas para contatar funcionários de empresas de tecnologia, que são convidados a colaborar em um repositório. O agente da ameaça convence a vítima a clonar o repositório e executá-lo em sua máquina, levando à infecção por malware.
“O agente da ameaça geralmente publica seus pacotes maliciosos apenas quando faz um convite de repositório fraudulento, minimizando a exposição do novo pacote malicioso ao escrutínio”, explica o GitHub.
Em alguns casos, serviços de mensagens ou plataformas de compartilhamento de arquivos podem ser usados para entregar os pacotes maliciosos e iniciar a cadeia de infecção.
O GitHub diz que suspendeu as contas NPM e GitHub associadas aos ataques e também apresentou relatórios de abuso para os domínios identificados que ainda estavam disponíveis.
As iterações anteriores dos aplicativos JavaScript da campanha TraderTraitor aproveitando o Node.js e a estrutura Electron foram usadas para infectar as vítimas com o Manuscrypt RAT.
foi relatado por Phylum no final de junho e por SentinelOne na quinta-feira.