Allarme GitHub: hacker di Lazarus lo sfruttano per diffondere malware

Gli hacker di Lazarus prendono di mira GitHub con una raffinata campagna di social engineering: cosa è successo?
Marco Ponteprino
Pubblicato il 21 lug 2023
Allarme GitHub: hacker di Lazarus lo sfruttano per diffondere malware
pixabay.com

L’avvertimento arriva direttamente da GitHub: a quanto pare, è stata individuata una pericolosa campagna di social engineering sulla piattaforma.

Si tratta di un’attacco che prende di mira gli account degli sviluppatori nei settori blockchain, criptovalute, gioco d’azzardo online e sicurezza informatica per infettare i loro dispositivi con malware.

La campagna, a quanto pare, è collegata al gruppo di hacker Lazarus, sponsorizzato dallo stato nordcoreano e ben noto agli esperti di sicurezza informatica. Il gruppo in questione ha diversi precedenti nel contesto di attacchi società di criptovaluta e spionaggio informatico.

In un recente avviso all’utenza, GitHub avverte che il gruppo Lazarus sta compromettendo account legittimi, o creandone di falsi, fingendo che questi appartengano sviluppatori e recruiter.

Secondo l’avviso “GitHub ha identificato una campagna di social engineering a basso volume che prende di mira gli account personali dei dipendenti delle aziende tecnologiche, utilizzando una combinazione di inviti al repository e dipendenze dannose del pacchetto NPM“.

La campagna di Lazarus fa leva su un accurato lavoro di social engineering

Venendo in possesso di questi account, gli hacker possono contattare sviluppatori e avviare conversazioni, per spingere gli stessi verso un’altra piattaforma (in alcune campagne passate era WhatsApp).

Dopo aver conquistato la fiducia dello sviluppatore, questo viene invitato a collaborare a un progetto e a clonare un repository GitHub, spesso con il focus su trading di criptovalute o simili. Tali progetti adottano NPM dannose, scaricando malware sui dispositivi delle vittime.

GitHub afferma di aver sospeso tutti gli account NPM e GitHub coinvolti e ha pubblicato un elenco completo di indicatori relativi ai domini, agli account GitHub e ai pacchetti NPM associati alla campagna di Lazarus. La società sottolinea inoltre che nessun sistema GitHub è stato compromesso durante l’operazione degli hacker.

Di certo, questo tipo di azione non è una novità: una campagna simile è stata avviata da Lazarus a inizio 2021, con tecniche ed esiti simili.

Ti consigliamo anche

Google Play Protect identifica ora le app che raccolgono dati di nascosto
Mobile

Google Play Protect identifica ora le app che raccolgono dati di nascosto
Patch Tuesday di novembre 2024: risolte 4 vulnerabilità zero-day
Vulnerabilità

Patch Tuesday di novembre 2024: risolte 4 vulnerabilità zero-day
Truffa a nome di Brad Pitt su Facebook: rubati 15 mila euro a una donna italiana
Sicurezza

Truffa a nome di Brad Pitt su Facebook: rubati 15 mila euro a una donna italiana
Malware sfrutta raro linguaggio di programmazione per eludere rilevamento
Vulnerabilità

Malware sfrutta raro linguaggio di programmazione per eludere rilevamento
Link copiato negli appunti