GitHub alerta: malware do Lazarus visa desenvolvedores com projetos maliciosos

github-alerta-malware-lazarus-visa-desenvolvedores-com-projetos-maliciosos

Os cibercriminosos estão sempre me busca de novas formas de espalharem malwares e fazerem suas vítimas na internet. Agora, por exemplo, o GitHub está alertando sobre uma campanha de engenharia social do grupo Lazarus, direcionada às contas de desenvolvedores nos setores de blockchain, criptomoeda, jogos de azar online e segurança cibernética para infectar seus dispositivos com malware.

Hackers Lazarus visando desenvolvedores do GitHub

De acordo com as informações do alerta, essa campanha estava ligada ao grupo de hackers Lazarus, patrocinado pelo estado norte-coreano, também conhecido como Jade Sleet (Microsoft Threat Intelligence) e TraderTraitor (CISA). O governo dos EUA divulgou um relatório em 2022 detalhando as táticas dos atores da ameaça.

Essa não é a primeira vez que o grupo age visando empresas de criptomoedas. Esse grupo de hackers tem um longo histórico de segmentação de empresas de criptomoedas e pesquisadores de segurança cibernética para espionagem cibernética e roubo de criptomoedas.

Segmentação de desenvolvedores com malware

github-alerta-malware-lazarus-visa-desenvolvedores-com-projetos-maliciosos

Em um novo alerta de segurança, o GitHub alerta que o Lazarus Group está comprometendo contas legítimas ou criando personas falsas que fingem ser desenvolvedores e recrutadores no GitHub e nas mídias sociais.

O GitHub identificou uma campanha de engenharia social de baixo volume que visa as contas pessoais de funcionários de empresas de tecnologia, usando uma combinação de convites de repositório e dependências maliciosas de pacotes npm.

Essas personas são usadas para entrar em contato e iniciar conversas com desenvolvedores e funcionários nos setores de criptomoeda, jogos de azar online e segurança cibernética. Essas conversas geralmente levam a outra plataforma, que em campanhas anteriores era o WhatsApp. Depois de estabelecer a confiança com o alvo, os agentes da ameaça os convidam a colaborar em um projeto e clonar um repositório GitHub com temas relacionados a reprodutores de mídia e ferramentas de negociação de criptomoedas.

No entanto, o GitHub diz que esses projetos utilizam dependências NPM maliciosas que baixam outros malwares para os dispositivos dos alvos. Embora o GitHub tenha compartilhado apenas que os pacotes NPM maliciosos atuam como um downloader de malware de primeiro estágio, eles fizeram referência a um relatório de junho da Phylum que dá mais detalhes sobre os NPMs maliciosos.

De acordo com a Phylum, os NPMs agem como downloaders de malware que se conectam a sites remotos para cargas adicionais a serem executadas na máquina infectada. É preciso cuidado com essas campanhas que espalham malwares e podem fazer muitas vítimas.