- Lazarus grubunun Bulaşıcı Röportaj kampanyası, kötü amaçlı Git depoları aracılığıyla Visual Studio Kodunu kötüye kullanıyor
- Saldırganlar macOS’ta JavaScript verileri sunarak kalıcı veri toplama ve C2 iletişimini mümkün kılar
- Jamf, gelişmiş tehdit kontrollerinin etkinleştirilmesini ve güvenilmeyen depolarla ilgili dikkatli olunmasını tavsiye ediyor
Kötü şöhretin bir parçası olarak Bulaşıcı Röportaj Kampanyada, Kuzey Koreli tehdit aktörlerinin meşruiyeti kötüye kullandığı görüldü Microsoft Saldırılarında Visual Studio Code.
Bulaşıcı Röportaj, Lazarus grubunun (ve diğer devlet destekli Kuzey Koreli aktörlerin) sahte işler yarattığı ve Batı ülkelerindeki yazılım ve blockchain geliştiricilerini röportajlara davet ettiği bir hackleme kampanyasıdır.
Görüşme süreci sırasında kurbanları konuşlandırmaları için kandırıyorlar kötü amaçlı yazılım Saldırganlara bilgisayarlarına ve mevcut işveren ağlarına kesintisiz erişim olanağı sağlıyor.
Nasıl güvende kalınır?
Kampanya oldukça başarılı çünkü son yılların en büyük kripto soygunlarından bazılarının sorumlusu olarak görülüyor.
Yeni bir raporda, güvenlik araştırmacıları Jamf “kampanyanın ilk aşamalarında kullanılan tekniklerde bir evrim” ayrıntılı olarak açıklandı. Saldırganların öncelikle kötü amaçlı bir Git deposu oluşturup bunu GitHub veya GitLab gibi platformlarda barındıracakları söylendi.
Bundan sonra, “röportaj” süreci sırasında, Microsoft Visual Studio Code’u kullanarak kurbanı klonlaması ve depoyu açması için kandırıyorlardı. Araç, kurbanın depo yazarına güvenmesini ister ve bu gerçekleşirse uygulama, gömülü isteğe bağlı komutları tetikleyen Tasks.json yapılandırma dosyasını otomatik olarak işler.
MacOS’ta bu komutlar, bir JavaScript verisini (genellikle Vercel gibi bir platformdan) uzaktan almak ve bunu Node.js çalışma zamanına yönlendirmek için bir arka plan kabuğu kullanır.
JavaScript verisi daha sonra yürütülür ve ana bilgisayar bilgilerini (ana bilgisayar adı, MAC adresleri ve işletim sistemi ayrıntıları) toplayan ve uzak bir komut ve kontrol (C2) sunucusuyla iletişim kuran kalıcı bir döngü oluşturur. Son olarak, arka kapı periyodik olarak C2 sunucusuna ping atarak sistem verilerini gönderir ve daha fazla kötü amaçlı JavaScript talimatı alır.
Jamf, “Müşterilerimizin, bu araştırmada açıklanan tekniklere karşı korunmaya devam etmeleri için Mac için Jamf’te Tehdit Önleme ve Gelişmiş Tehdit Kontrollerinin etkinleştirildiğinden ve engelleme moduna ayarlandığından emin olmalarını şiddetle tavsiye ediyoruz” diye uyardı.
“Geliştiriciler, özellikle doğrudan paylaşılan veya bilinmeyen kaynaklardan gelen üçüncü taraf depolarla etkileşimde bulunurken dikkatli olmalıdır. Bir depoyu Visual Studio Code’da güvenilir olarak işaretlemeden önce içeriğini incelemek önemlidir” diye eklediler.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.