El Grupo de Lázaro de Corea del Norte comprometió a cientos de víctimas en todo el mundo en un ataque masivo de la cadena de suministro de robo en secreto que estaba en curso a principios de este mes, según investigadores de seguridad.
La última operación de la tripulación, denominada Circuito Phantom, plantado en puertas traseras en clones de paquetes de software legítimos y herramientas de código abierto para que los desarrolladores y otros específicamente en la industria de las criptomonedas los usen accidentalmente, comprometiendo sus máquinas. Estos proyectos envenenados se compartirían a través de lugares como Gitlab.
La campaña se desarrolló en múltiples ondas, según los investigadores de SecurityScorecard, que vieron el ataque de la cadena de suministro y lo revelaron en investigación (PDF) Publicado hoy.
En noviembre, las cibernidades de Kim Jong Un se dirigieron a 181 desarrolladores en sectores tecnológicos en su mayoría europeos. Al mes siguiente, se expandieron a 1.225 víctimas, incluidas 284 en India y 21 en Brasil. Y en enero, agregaron 233 víctimas, que incluyeron 110 en el sector tecnológico de la India.
Los datos robados incluyeron credenciales, tokens de autenticación, contraseñas y otra información del sistema.
El Grupo Lazarus bifurcó principalmente proyectos de código abierto para esta campaña, nos dicen. Si ha encontrado o instalado, cualquiera de los paquetes de malware identificados por SecurityScorecard, tenga en cuenta y tome medidas.
Los repositorios modificados incluyeron el codementador, CoinProperty, Web3 e-store, un administrador de contraseñas con sede en Python y otras aplicaciones relacionadas con las criptomonedas, paquetes de autenticación y tecnologías Web3, Ryan Sherstobitoff, vicepresidente senior de investigación e inteligencia de amenazas en SecurityScorecard, dijo. El registro.
«Estos son ejemplos de repos de código que alojan en Gitlab, por ejemplo, que es un clon de software legítimo e incrustan en Node.js ofuscó la puerta trasera», dijo. «Lo aterrador es que estos desarrolladores clonarán este código de GIT directamente en computadoras portátiles corporativas, ya lo hemos visto directamente con dos desarrolladores. Básicamente pueden hacerlo para casi cualquier paquete».
Una vez que un desarrollador, sin saberlo, se descarga y comienza a usar una bifurcación maliciosa, el malware en ese código clonado ejecuta e instala una puerta trasera en el dispositivo comprometido, lo que permite que los norcoreanos se conecten, roben datos confidenciales y lo envíen de regreso a Pyongyang.
Esta campaña, incrustando malware en copias de software legítimo, también revela un cambio en el modus operandi de LAZARUS Group, agregó Sherstobitoff.
«Este enfoque permite un impacto generalizado y un acceso a largo plazo mientras evade la detección», Sherstobitoff dicho en un artículo sobre la investigación de su equipo.
Durante su investigación anterior sobre una estafa de oferta de trabajo falsa Operación 99El equipo de respuesta a incidentes de SecurityScorecard descubrió los servidores de comando y control del grupo Lázaro (C2) que estaban activos desde septiembre de 2024. El análisis posterior reveló que estos servidores se usaron más tarde en la campaña del circuito fantasma para comunicarse con sistemas infectados, entregar malware y exfiltrado Stole datos.
Sin embargo, «las preguntas críticas, como cómo se manejaron los datos exfiltrados y qué infraestructura se utilizó para administrar estos servidores, permanecieron sin respuesta hasta ahora», señalaron los investigadores.
El equipo de respuesta a incidentes identificó un sistema administrativo oculto alojado en cada servidor C2 que proporcionó un control centralizado sobre el ataque de la cadena de suministro. La plataforma administrativa, que administró datos exfiltrados y entrega de carga útil controlada, se construyó con una aplicación React y una API de nodo.js.
El Grupo Lázaro también usó la ofuscación en capas para ocultar el origen de esta campaña, nos dicen.
Esto incluyó enrutar el tráfico a través de los puntos finales de Astrill VPN para oscurecer su origen geográfico, seguido de una capa intermedia de poder registrada en Sky Freight Limited en Hasan, Rusia, combinando actividades maliciosas con tráfico de red legítimo.
Después de mezclar con el tráfico legítimo, la campaña de robo de datos finalmente llegó a la infraestructura C2 del Grupo Lazarus, alojado en servidores Stark Industries.
Los investigadores de SecurityScorecard vieron seis direcciones IP de Corea del Norte que se conectan a los servidores C2, una de las cuales estaba vinculada a los ataques anteriores del Grupo Lázaro contra la plataforma del codementador.
Desde los servidores C2, los delincuentes digitales cargaron los productos robados a Dropbox.
«Esta infraestructura en capas vinculó las seis direcciones IP de Corea del Norte directamente a los servidores C2, confirmando el papel del Grupo Lazarus en la gestión de la operación desde Corea del Norte», dijo el informe. ®
