GitHub 提醒 Lazarus 黑客组织利用恶意项目攻击开发人员

Lazarus 组织又被微软威胁情报部门称为 Jade Sleet，被CISA 称为 TraderTraitor。美国政府机构在2022年发布报告详述了威胁行动者所使用的技术。

Lazarus 黑客组织长久以来攻击密币公司和网络安全研究人员，实施网络间谍活动并窃取密币。

GitHub 发布安全警报称，Lazarus 黑客组织正在攻陷合法账户或虚假人设，在GitHub 和社交媒体上假冒开发人员和招聘人员。

GitHub 在安全警报中提到，“GitHub 发现一个小规模社工活动，组合利用仓库邀请和恶意 npm 程序包依赖，攻击技术企业员工的个人账户。”

这些人设用于和密币、在线赌博和网络安全行业中的开发人员和员工联系并启动会话。这些会话常常会导向另一个平台，而在以往这个平台是 WhatsApp。与目标建立信任后，威胁行动者邀请目标协作项目并克隆一个主题为媒体播放器和密币交易工具的 GitHub 仓库。然而，GitHub 指出，这些项目利用恶意 NPM 依赖将更多恶意软件下载到目标设备上。

虽然 GitHub 仅提到，这些恶意 NPM 包作为第一阶段的恶意软件下载器，但他们引用 Phylum 在6月份发布的报告详细说明了与这些恶意 NPM 相关的详情。Phylum 公司提到，这些 NPM 作为恶意软件下载器，与远程站点连接，在受感染机器上执行的更多 payload。遗憾的是，Phylum 公司的研究员并未收到第二阶段的 payload 来查看交付给设备的最终恶意软件并分析被执行的恶意行为。Phylum 公司的研究人员提到，“不管原因是什么，很肯定这是复杂的供应链威胁行动者。该攻击引人注意的原因在于它独特的执行链要求：同样机器上需要以特定顺序安装两个不同的程序包。另外，这些恶意组件存储在服务器上，会在执行时动态分配。”

GitHub 表示，他们已暂停使用所有的NPM和GitHub 账户并发布了与该活动相关的域名、GitHub 账户以及NPM包的完整指标清单。GitHub 公司还强调称这起攻击活动并未攻陷任何 GitHub 或 npm 系统。

这起活动类似于2021年1月Lazarus 组织发动的另一起攻击活动，当时攻击者利用详细的虚假“安全研究员”社交媒体人设对研究员发动社工攻击，以恶意软件感染目标。攻击者说服研究员协作开发漏洞，为安装自定义后门的漏洞利用分发恶意 Visual Studio 项目。2021年3月还发生类似攻击，黑客为虚假公司 SecureElite 创建网站，以恶意软件感染研究人员。

Lazarus 黑客组织被指一直以来攻击密币企业和开发人员，窃取资产以支持朝鲜的计划。该组织传播木马化的密币钱包和交易应用窃取用户的密币钱包及其资金。2022年4月，美国财政部和 FBI 认为 Lazarus 组织盗取基于区块链的游戏公司 Axie价值6.17亿美元的以太坊和 USDC令牌。之后发现该组织将恶意 PDF 文件伪装成诱人的工作机会，发送给该公司的一名工程师。利用虚假工作机会传播恶意软件的情况也发生在2020年的“梦想工作行动”攻击中，位于美国的国防企业和航天企业员工遭攻击。

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~