L’astuto Pesci Inganna gli Sviluppatori di Cripto con False Offerte di Lavoro

Un gruppo di hacker nordcoreani noto come Slow Pisces sta ingannando gli sviluppatori di criptovalute facendo eseguire codice malevolo mascherato da sfide per candidature di lavoro.

Il gruppo, noto anche come Jade Sleet o TraderTraitor, ha rubato oltre $1 miliardo in asset crittografici e continua a lanciare attacchi sofisticati con l’obiettivo di generare introiti per il regime della DPRK.

Secondo i ricercatori di cybersecurity di Unit 42 di Palo Alto Networks, Slow Pisces contatta gli sviluppatori su LinkedIn fingendosi recruiter. Dopo aver avviato una conversazione, inviano una falsa descrizione del lavoro in un PDF. Se la vittima si candida, gli viene inviato un test di programmazione che include un “progetto reale” ospitato su GitHub. Quel progetto è infarcito di malware.

Questi falsi progetti spesso appaiono legittimi e attingono persino dati da siti web reali come Wikipedia. Ma nascosto tra le fonti c’è un sito malevolo controllato dagli hacker. Il malware viene attivato solo dopo aver confermato la posizione e i dettagli del sistema della vittima, permettendo a Slow Pisces di evitare il rilevamento.

Invece di utilizzare ovvi trucchi di hacking che i sistemi di sicurezza possono facilmente individuare, gli aggressori hanno usato un metodo più subdolo chiamato deserializzazione YAML. Fondamentalmente, nascondono del codice pericoloso all’interno di quello che sembra essere harmessi file di configurazione, rendendolo più difficile da rilevare.

Una volta installato, il malware funziona in memoria e non lascia tracce sull’hard disk. Scarica ulteriori malware, denominati RN Loader e RN Stealer. RN Loader raccoglie dati di base del sistema, mentre RN Stealer raccoglie informazioni più sensibili come nomi utente, applicazioni installate, e contenuti di directory, in particolare dai sistemi macOS.

Palo Alto Networks ha segnalato gli account maligni su LinkedIn e GitHub. Entrambe le piattaforme hanno risposto:

“GitHub e LinkedIn hanno rimosso questi account maligni per violazione dei rispettivi termini di servizio […] Continuiamo a evolvere e migliorare i nostri processi e incoraggiamo i nostri clienti e membri a segnalare qualsiasi attività sospetta.”

Gli esperti di sicurezza consigliano agli sviluppatori di rimanere cauti riguardo alle sfide di programmazione non richieste e di controllare gli URL collegati nei test di lavoro.