Uzbudljiva Kampanja Hakerske Grupe Spavaći Ribe Iznosi Velike Sume Kriptovaluta
Jedna od najnovijih prijetnji u svijetu kriptovaluta dolazi od hakerske grupe iz Sjeverne Koreje poznate kao Slow Pisces. Ova grupa, koja se također naziva TraderTraitor ili Jade Sleet, pokrenula je složenu kampanju usmjerenu na programere u sektoru kriptovaluta putem platforme LinkedIn. Njihovi sofisticirani poduhvati uključuju prevaru žrtava kako bi im se predstavili kao regruteri, nudeći privlačne ponude za posao i koderske izazove, kako bi na kraju zaražili njihove sustave zlonamjernim kodom pisanima u Pythonu i JavaScriptu.
Razrađena Metodologija i Tehnike Napada
Kampanja hakerske grupe Slow Pisces rezultirala je značajnim krađama kriptovaluta. Samo tijekom 2023. godine, zabilježeni su gubici koji premašuju 1 milijardu dolara. Među najistaknutijim napadima su uključeni:
- Krađa od 1.5 milijardi dolara na burzi u Dubaiju
- Krađa od 308 milijuna dolara iz japanske kompanije
Nakon slanja PDF dokumenata s opisima posla, zlonamjerni akteri šalju zadatke za programiranje koji su hostani na GitHubu. Iako ovi repozitoriji izgledaju kao legitimni otvoreni projekti, zapravo su tajno izmijenjeni kako bi sadržavali skrivene malware kodove.
Kako Se Malware Širi?
Žrtve, vjerujući da rješavaju testove programiranja, nehotice instaliraju malware poput RN Loader-a i RN Stealer-a na svoje sustave. Ovi zamke projekti oponašaju legitimne alate i aplikacije za programere. Na primjer, Python repozitoriji mogu izgledati kao da analiziraju trendove na burzi koristeći podatke iz provjerenih izvora, dok u stvarnosti komuniciraju s domenama pod kontrolom napadača.
Malware koristi YAML deserializaciju kako bi izbjegao uobičajene alate za detekciju, izbjegavajući funkcije koje su često označene kao sumnjive. Kada se aktivira, učitava dodatne zlonamjerne pakete u memoriji, otežavajući njihovo otkrivanje ili uklanjanje. Jedan od tih paketa, RN Stealer, dizajniran je da ukrade vjerodajnice, konfiguracijske datoteke za oblak i pohranjene SSH ključeve, posebno sa macOS sustava. Varijante u JavaScriptu djeluju na sličan način, skrivajući zlonamjerni kod koristeći ugradni JavaScript templating engine, koji se aktivira samo za ciljanje žrtava na temelju IP adresa ili zaglavlja preglednika.
Akcije GitHub-a i LinkedIn-a
Kao odgovor na ove prijetnje, GitHub i LinkedIn poduzeli su mjere uklanjanja zlonamjernih računa i repozitorija. U zajedničkom priopćenju, kompanije su izjavile: “GitHub i LinkedIn uklonili su ove zlonamjerne račune zbog kršenja naših uvjeta usluge. U našim proizvodima koristimo automatiziranu tehnologiju, zajedno s timovima stručnjaka za istrage i izvještavanje članova, kako bismo se borili protiv loših aktera i provodili uvjete usluge.”
Osnovne Preporuke za Razvijače
Postoji sve veća potreba za oprezom kada je riječ o poslovnim ponudama na daljinu i testovima kodiranja. Razvijači bi trebali:
- Korištenje jakog antivirusnog softvera
- Pokretanje nepoznatog koda u sigurnim okruženjima
- Paziti na najbolje IDE-ove koji uključuju ugrađene sigurnosne značajke
Budite na oprezu i radite u sigurnom, kontroliranom okruženju kako biste značajno smanjili rizik od pada u zamku cyber prijetnji koje podržavaju države.
Zaključak
Kampanja hakerske grupe Slow Pisces otkriva kako su prijetnje programerima u sektoru kriptovaluta postale sofisticirane i opasne. Osim poziva na veću svijest i zaštitu, ova situacija ističe važnost sigurnosnih mjera i alata koje razvijači trebaju koristiti u svom radu. S obzirom na to da se cyber napadi nastavljaju razvijati, proaktivan pristup sigurnosti će biti ključan za zaštitu imovine i informacija.
