Северокорейские хакеры используют проекты с открытым исходным кодом для распространения вредоносного ПО

Северокорейские киберпреступники активизировали кампанию по компрометации разработчиков через поддельные репозитории на GitHub, сообщает издание Cybernews. По данным OpenSourceMalware, злоумышленники выдают себя за рекрутеров криптовалютных и финтех-компаний в соцсетях и предлагают жертвам выполнить тестовое задание.

Ссылки ведут на репозитории, внешне выглядящие как легитимные проекты. Однако при открытии такого проекта в VS Code автоматически выполняется вредоносный код, замаскированный под файлы веб-шрифтов (.woff2) через конфигурацию в файле .vscode/tasks.json.

Вредоносное ПО использует многоступенчатый загрузчик для работы на Windows, macOS и Linux. Финальной полезной нагрузкой является бэкдор InvisibleFerret на Python. Он способен похищать учетные данные из расширений для криптокошельков, включая MetaMask и Coinbase Wallet, собирать данные браузеров, логировать нажатия клавиш и подменять криптовалютные адреса в буфере обмена.

Данная кампания, получившая название «Fake Font», является развитием предыдущих атак, таких как “Contagious Interview” (с англ. — «Заразное собеседование»). Ранее северокорейские хакеры уже распространяли вредоносные пакеты npm и использовали фальшивые задания на GitHub для доставки вредоносного кода.

Эксперты по кибербезопасности отмечают, что кампания демонстрирует эволюцию тактик. Используя встроенные возможности инструментов разработки, злоумышленники могут обходить традиционные средства защиты. В связи с этим разработчикам рекомендуется с осторожностью относиться к сторонним репозиториям и тщательно проверять входящие запросы на сотрудничество.

Ранее SecPost писал о том, как Северная Корея зарабатывает на кибератаках и обходе санкций — через кражи криптовалюты и через работу своих ИТ-специалистов в иностранных компаниях. 

Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Бюджет