Aktor ancaman yang terkait dengan Korea Utara menilai berada di belakang peretasan besar Bybit pada bulan Februari 2025 telah dikaitkan dengan kampanye berbahaya yang menargetkan pengembang untuk memberikan malware pencuri baru dengan kedok penugasan pengkodean.
Kegiatan ini telah dikaitkan dengan Palo Alto Networks Unit 42 dengan grup peretasan yang dilacaknya sebagai Pisces lambatyang juga dikenal sebagai Jade Sleet, Pukchong, Tradertraitor, dan UNC4899.
“Pisces lambat terlibat dengan pengembang cryptocurrency di LinkedIn, menyamar sebagai calon pemberi kerja dan mengirim malware yang menyamar sebagai tantangan pengkodean,” kata peneliti keamanan Prashil Pattni. “Tantangan -tantangan ini mengharuskan pengembang untuk menjalankan proyek yang dikompromikan, menginfeksi sistem mereka menggunakan malware yang telah kami beri nama RN Loader dan RN Stealer.”
Slow Pisces memiliki riwayat penargetan pengembang, biasanya di sektor cryptocurrency, dengan mendekati mereka di LinkedIn sebagai bagian dari peluang kerja yang seharusnya dan memikat mereka untuk membuka dokumen PDF yang merinci penugasan pengkodean yang di -host di GitHub.
Pada bulan Juli 2023, GitHub mengungkapkan bahwa karyawan yang bekerja di Blockchain, cryptocurrency, perjudian online, dan perusahaan cybersecurity dipilih oleh aktor ancaman, menipu mereka untuk menjalankan paket NPM berbahaya.
Kemudian Juni lalu, Mandiant milik Google merinci Modus Operandi penyerang dari pengiriman pertama ke target di LinkedIn dokumen PDF jinak yang berisi deskripsi pekerjaan untuk dugaan peluang kerja dan menindaklanjutinya dengan kuesioner keterampilan jika mereka menyatakan minat.
Kuesioner termasuk instruksi untuk menyelesaikan tantangan pengkodean dengan mengunduh proyek Python Trojanized dari GitHub bahwa, sementara seolah-olah mampu melihat harga cryptocurrency, dirancang untuk menghubungi server jarak jauh untuk mengambil muatan tahap kedua yang tidak ditentukan jika kondisi tertentu dipenuhi.
Rantai serangan multi-tahap yang didokumentasikan oleh Unit 42 mengikuti pendekatan yang sama, dengan muatan jahat yang dikirim hanya untuk target yang divalidasi, kemungkinan berdasarkan alamat IP, geolokasi, waktu, dan header permintaan HTTP.
“Berfokus pada individu yang dihubungi melalui LinkedIn, sebagai lawan dari kampanye phishing luas, memungkinkan kelompok untuk mengontrol tahap -tahap kampanye selanjutnya dan memberikan muatan hanya untuk korban yang diharapkan,” kata Pattni. “Untuk menghindari fungsi eval dan eksekutif yang mencurigakan, Slow Pisces menggunakan deserialisasi YAML untuk menjalankan muatannya.”
Payload dikonfigurasi untuk menjalankan keluarga malware bernama RN Loader, yang mengirimkan informasi dasar tentang mesin korban dan sistem operasi melalui HTTPS ke server yang sama dan menerima dan menjalankan gumpalan yang dikodekan dengan basis stadium berikutnya.
Malware yang baru diunduh adalah RN Stealer, pencuri informasi yang mampu memanen informasi sensitif dari sistem macOS Apple yang terinfeksi. Ini termasuk metadata sistem, aplikasi yang diinstal, daftar direktori, dan konten tingkat atas dari direktori home korban, gantungan kunci iCloud, tombol SSH yang disimpan, dan file konfigurasi untuk AWS, Kubernetes, dan Google Cloud.
“Infostealer mengumpulkan informasi korban yang lebih terperinci, yang kemungkinan besar diserang untuk menentukan apakah mereka membutuhkan akses lanjutan,” kata Unit 42.
Korban yang ditargetkan yang mengajukan peran JavaScript, juga, didesak untuk mengunduh proyek “Dasbor Cryptocurrency” dari GitHub yang menggunakan strategi serupa di mana server perintah-dan-kontrol (C2) hanya melayani muatan tambahan ketika target memenuhi kriteria tertentu. Namun, sifat pasti dari muatan tidak diketahui.
“Repositori menggunakan alat templat javascript (EJS) tertanam, memberikan respons dari server C2 ke fungsi ejs.render (),” Pattni menunjukkan. “Seperti penggunaan yaml.load (), ini adalah teknik lain yang digunakan Pisces lambat untuk menyembunyikan eksekusi kode sewenang -wenang dari server C2 -nya, dan metode ini mungkin hanya terlihat ketika melihat muatan yang valid.”
Jade Sleet adalah salah satu di antara banyak kelompok kegiatan ancaman Korea Utara untuk memanfaatkan umpan bertema peluang kerja sebagai vektor distributor malware, yang lain adalah operasi impian operasi, wawancara menular, dan pisces yang memikat.
“Kelompok -kelompok ini tidak menampilkan tumpang tindih operasional. Namun, kampanye ini memanfaatkan vektor infeksi awal yang serupa patut diperhatikan,” Unit 42 menyimpulkan. “Slow Pisces menonjol dari kampanye rekan -rekan mereka dalam keamanan operasional. Pengiriman muatan pada setiap tahap dijaga ketat, hanya ada dalam memori. Dan perkakas tahap kemudian hanya dikerahkan bila perlu.”
