De Noord-Korea-gekoppelde dreigingsacteur die in februari 2025 achter de enorme bybit-hack staat, is gekoppeld aan een kwaadaardige campagne die zich richt op ontwikkelaars om nieuwe Stealer-malware te leveren onder het mom van een codeeropdracht.
De activiteit is toegeschreven door Palo Alto Networks Unit 42 aan een hackgroep die het volgt als Langzame Vissendie ook bekend staat als Jade Sleet, Pukchong, TrainerTraitor en UNC4899.
“Slow Vissen die zich bezighouden met cryptocurrency -ontwikkelaars op LinkedIn, zich voordeden als potentiële werkgevers en het verzenden van malware vermomd als coderingsuitdagingen,” zei beveiligingsonderzoeker Prashil Pattni. “Deze uitdagingen vereisen dat ontwikkelaars een gecompromitteerd project runnen, waardoor hun systemen worden geïnfecteerd met behulp van malware die we hebben benoemd tot RN Loader en RN Stealer.”
Slow Pissen heeft een geschiedenis van het richten van ontwikkelaars, meestal in de cryptocurrency -sector, door ze op LinkedIn te benaderen als onderdeel van een veronderstelde taakmogelijkheid en hen te verleiden om een PDF -document te openen dat de coderingstoewijzing op GitHub heeft beschreven.
In juli 2023 onthulde GitHub dat werknemers die bij blockchain werken, cryptocurrency, online gokken en cybersecuritybedrijven werden uitgekozen door de dreigingsacteur, die hen bedriegen tot het runnen van kwaadaardige NPM -pakketten.
Toen, afgelopen juni, beschreef Google-eigendom Mandiant de Modus Operandi van de aanvallers om eerst naar doelen te verzenden op LinkedIn een goedaardig PDF-document met een functiebeschrijving voor een vermeende vacature en het volgen met een vaardighedenvragenlijst als ze interesse tonen.
De vragenlijst bevatte instructies om een coderingsuitdaging in te vullen door een Trojanized Python-project van GitHub te downloaden dat, hoewel ogenschijnlijk in staat in staat om cryptocurrency-prijzen te bekijken, was ontworpen om contact op te nemen met een externe server om een niet-gespecificeerde tweede-fase payload op te halen als aan bepaalde voorwaarden wordt voldaan.
De multi-fase aanvalsketen gedocumenteerd door Unit 42 volgt dezelfde aanpak, met de kwaadaardige lading alleen verzonden naar gevalideerde doelen, waarschijnlijk op basis van IP-adres, geolocatie, tijd en HTTP-aanvraagkoppen.
“Richt op personen die contact hebben opgenomen via LinkedIn, in tegenstelling tot brede phishing -campagnes, stelt de groep in staat om de latere fasen van de campagne nauw te beheersen en alleen payloads te leveren aan verwachte slachtoffers,” zei Pattni. “Om het verdachte eval- en exec -functies te voorkomen, gebruikt Slow Vissen YAML -deserialisatie om de lading ervan uit te voeren.”
De payload is geconfigureerd om een malwarefamilie met de naam RN Loader uit te voeren, die basisinformatie over de slachtoffermachine en het besturingssysteem via HTTPS naar dezelfde server verzendt en een Base64-gecodeerde blob ontvangt en uitvoert.
De nieuw gedownloade malware is RN Stealer, een informatie -stealer die gevoelige informatie van geïnfecteerde Apple MacOS -systemen kan oogsten. Dit omvat systeemmetadata, geïnstalleerde applicaties, directory-lijst en de inhoud op het hoogste niveau van de thuismap van het slachtoffer, iCloud Keychain, opgeslagen SSH-toetsen en configuratiebestanden voor AWS, Kubernetes en Google Cloud.
“De infostealer verzamelt meer gedetailleerde slachtofferinformatie, die aanvallers waarschijnlijk hebben gebruikt om te bepalen of ze voortdurende toegang nodig hadden,” zei Unit 42.
Gerichte slachtoffers die een JavaScript-rol aanvragen, worden ook aangespoord om een ”cryptocurrency dashboard” -project van GitHub te downloaden dat een vergelijkbare strategie gebruikt waarbij de command-and-control (C2) -server alleen extra ladingen dient wanneer de doelen aan bepaalde criteria voldoen. De exacte aard van de payload is echter onbekend.
“De repository maakt gebruik van het ingebedde JavaScript (EJS) Templating Tool, door de reacties van de C2 -server naar de EJS.Render () -functie door te geven,” merkte Pattni op. “Net als het gebruik van yaml.load (), is dit een andere techniek die Slow Pissen gebruikt om de uitvoering van willekeurige code te verbergen voor zijn C2 -servers, en deze methode is misschien alleen duidelijk bij het bekijken van een geldige lading.”
Jade Sleet is een van de vele Noord-Koreaanse dreigingsactiviteiten die clusters van het werk kansen-thema-kunstaas gebruiken als een malwaredistributeurvector, de anderen zijn Operation Dream Job, besmettelijk interview en verleidelijke Vissen.
“Deze groepen hebben geen operationele overlappingen. Deze campagnes die gebruik maken van vergelijkbare initiële infectievectoren zijn echter opmerkelijk”, concludeerde Unit 42. “Slow Pissen onderscheidt zich van de campagnes van hun collega’s in operationele beveiliging. De levering van payloads in elke fase wordt zwaar bewaakt, alleen in het geheugen bestaan. En de latere fase -tooling van de groep wordt alleen ingezet wanneer dat nodig is.”
