นักพัฒนา Crypto ตกเป็นเป้าหมายของมัลแวร์ Python ที่ปลอมตัวมาเป็นความท้าทายในการเขียนโค้ด
นักพัฒนา Crypto ตกเป็นเป้าหมายของมัลแวร์ Python ที่ปลอมตัวมาเป็นความท้าทายในการเขียนโค้ด
แคมเปญโจมตีเชิงเป้าหมายที่มุ่งไปยังนักพัฒนาคริปโต โดยมีเป้าหมายคือขโมยข้อมูลและสิทธิ์เข้าถึงระบบผ่านมาลแวร์ที่ปิดบังในรูปแบบของข้อสอบทางการเขียนโค้ด
กลุ่มแฮกเกอร์ที่มีความเชื่อมโยงกับเกาหลีเหนือ ซึ่งรู้จักกันในนาม Slow Pisces (หรือ Jade Sleet, TraderTraitor, และ UNC4899) ใช้ LinkedIn เป็นเวทีหลักในการติดต่อกับนักพัฒนาคริปโตโดยปลอมตัวเป็นนายจ้างหรือผู้ว่าจ้างงาน ส่งเอกสาร PDF ที่อธิบายรายละเอียดงานทดสอบการเขียนโค้ดให้กับเป้าหมาย จากนั้นจึงชักชวนให้นักพัฒนาดาวน์โหลดโปรเจ็กต์ Python จาก GitHub ซึ่งโปรเจ็กต์นี้ถูกดัดแปลงให้ทำงานในลักษณะมาลแวร์
โปรเจ็กต์ Python ที่ดูเหมือนเป็นเครื่องมือสำหรับตรวจสอบหรือแสดงราคาสกุลเงินดิจิทัล กลับซ่อนกลไกที่เมื่อรันแล้วจะติดต่อไปยังเซิร์ฟเวอร์ของผู้โจมตีเพื่อให้ดาวน์โหลดเฟสที่สองของมาลแวร์ กล่าวคือ ในขั้นตอนแรก RN Loader จะถูกติดตั้งบนเครื่องผู้ใช้ จากนั้น RN Loader จะดึง RN Stealer ซึ่งเป็นโปรแกรมขโมยข้อมูลที่สามารถรวบรวมข้อมูลสำคัญจากเครื่อง เช่น รายละเอียดระบบ, แอปพลิเคชันที่ติดตั้ง, โครงสร้างโฟลเดอร์ในโฮมไดเรกทอรี, คีย์ของ iCloud, คีย์ SSH รวมไปถึงไฟล์การตั้งค่าสำหรับ AWS, Kubernetes และ Google Cloud
กลุ่มโจมตีใช้เทคนิคที่พิเศษในการหลีกเลี่ยงการตรวจจับ โดยหลีกเลี่ยงการใช้ฟังก์ชันที่ดูน่าสงสัยอย่าง eval หรือ exec และแทนที่ด้วยการใช้งาน YAML deserialization ในการรันโค้ดเปลี่ยนแปลง ผู้โจมตียังคัดเลือกเป้าหมายอย่างเคร่งครัด โดยส่งมาลแวร์ให้กับเฉพาะเป้าหมายที่ผ่านการตรวจสอบคุณสมบัติต่าง ๆ เช่น IP address, สถานที่ตั้ง, เวลาติดต่อ และ HTTP headers เท่านั้น
นอกจากการโจมตีต่อนักพัฒนาด้าน Python แล้ว ยังมีแนวทางคล้ายกันที่มุ่งไปยังผู้สมัครงานในตำแหน่ง JavaScript โดยชักชวนให้นักพัฒนาดาวน์โหลดโปรเจ็กต์ “Cryptocurrency Dashboard” ที่มีรูปแบบการทำงานคล้ายกัน ทำให้กระบวนการโจมตีมีลักษณะเป็นหลายชั้นและซับซ้อน การโจมตีเฉพาะเป้าหมายในลักษณะนี้ช่วยให้ผู้โจมตีสามารถควบคุมและปล่อย payload ได้อย่างมีประสิทธิภาพโดยลดโอกาสในการตรวจจับ
คำเตือนสำหรับนักพัฒนาในภาคคริปโตให้คำนึงถึงความระมัดระวังในการตอบรับข้อเสนอหรือคำเชิญที่มาจากแหล่งที่ไม่แน่นอน โดยเฉพาะเมื่อมีการดาวน์โหลดและรันโปรเจ็กต์จาก GitHub ควรตรวจสอบความน่าเชื่อถืออย่างละเอียดเพื่อป้องกันการติดมาลแวร์และการขโมยข้อมูลที่อาจส่งผลกระทบต่อความปลอดภัยของระบบในอนาคต
ที่มา: thehackernews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
เหตุใดทีม SOC ชั้นนำจึงหันมาใช้ Network Detection and Response
แพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อฝัง SSH Backdoors บนระบบ Linux
ผู้หลอกลวงใช้ Google OAuth เพื่อปลอมตัวเป็น Google ในการโจมตี DKIM แบบรีเพลย์
Wine Lure ของ Cozy Bear ปล่อยมัลแวร์ WineLoader ลงบนนักการทูตสหภาพยุโรป
Microsoft กำหนดให้บัญชีใหม่ทั้งหมดไม่มีรหัสผ่านเป็นค่าเริ่มต้น
