GitHub ha recentemente emesso un avviso di sicurezza che avverte di una campagna di ingegneria sociale che prende di mira gli account degli sviluppatori nei settori delle criptovalute, della blockchain, della sicurezza informatica e del gioco d’azzardo online.
La campagna, che è stata collegata al famigerato gruppo di hacker nordcoreani Lazarus, mira a infettare i loro sistemi con malware. Lazarus è noto per i suoi attacchi di alto profilo contro le società di criptovalute e i ricercatori di sicurezza informatica, con l’intenzione di rubare criptovalute e condurre spionaggio informatico.
“GitHub ha identificato una campagna di ingegneria sociale a basso volume che prende di mira gli account personali dei dipendenti delle aziende tecnologiche, utilizzando una combinazione di inviti al repository e dipendenze dannose del pacchetto npm”, si legge nell’avviso di sicurezza di GitHub.
È stato segnalato che gli hacker nordcoreani compromettono account legittimi o creano personaggi falsi su GitHub e sui social media, mascherati da reclutatori e sviluppatori. Avviano il contatto, spesso tentando di trasferire la conversazione da una piattaforma all’altra.
Una volta stabilito il contatto, gli autori attirano le vittime a collaborare su un repository GitHub, pubblico o privato.
Questi repository spesso contengono codice dannoso incorporato nel software che include dipendenze npm (JavaScript package manager) dannose, comunemente presenti nei lettori multimediali e negli strumenti di trading di criptovalute.
I domini utilizzati per i download di malware di seconda fase includono:
- npmjscloud[.] Com
- npmrepos[.] Com
- CryptoPriceOffer[.] Com
- tradingprice[.] rete
- npmjsregister[.] Com
- bi2prezzo[.] Com
- npmaudit[.] Com
- coingeckoprice[.] Com
Gli autori delle minacce sono cauti e si astengono dal pubblicare pacchetti dannosi se non sono sicuri di un successo per evitare di esporre inutilmente il codice dannoso e di essere scoperti. Tuttavia, potrebbero tentare di distribuire il malware direttamente su piattaforme di messaggistica o di condivisione di file, ignorando il passaggio di invito/clonazione del repository.
GitHub ha adottato una serie di misure per limitare i danni causati da questa campagna, tra cui:
- Sospensione degli account npm e GitHub associati alla campagna
- Pubblicazione di un elenco di indicatori di compromissione (IoC)
- Invio di segnalazioni di abuso agli host di dominio se il dominio non autorizzato era ancora attivo al momento del rilevamento
Inoltre, GitHub ha rilasciato una serie di raccomandazioni di sicurezza per gli utenti per mitigare questa campagna dannosa:
- Prestare attenzione se viene richiesto di clonare o scaricare contenuti associati agli account elencati nell’avviso
- Esamina i log di sicurezza per gli eventi per verificare se hanno accettato un invito a un repository non autorizzato
action:repo.add_member - Stai attento alle sollecitazioni sospette sui social media a collaborare o installare pacchetti npm o software che dipendono da loro
- Contatta il dipartimento di sicurezza informatica del tuo datore di lavoro se preso di mira
- Reimpostare o cancellare i dati dei dispositivi potenzialmente interessati, modificare le password degli account e ruotare le credenziali o i token sensibili archiviati nei dispositivi potenzialmente interessati
Questa campagna espone le crescenti minacce nel settore tecnologico, in particolare tra i domini delle criptovalute, della blockchain e della sicurezza informatica. Si consiglia agli sviluppatori e alle aziende di questi domini di prestare attenzione e di prestare attenzione alle raccomandazioni di GitHub per rimanere protetti.