GitHub выявил маломасштабную кампанию социальной инженерии, направленную на личные учетные записи сотрудников технологических компаний с использованием комбинации приглашений в репозитории и вредоносных зависимостей пакетов npm. Многие из этих аккаунтов связаны с сектором блокчейна, криптовалют или онлайн-гемблинга. Несколько целей также были связаны с сектором кибербезопасности.
Цепочка атак выглядит следующим образом:
- Jade Sleet выдает себя за разработчика или рекрутера, создавая одну или несколько поддельных учетных записей на GitHub и в других социальных сетях. На данный момент мы выявили поддельные персоны, которые действовали в LinkedIn, Slack и Telegram. В одних случаях это поддельные персоны, в других - легитимные учетные записи, которые были переведены на Jade Sleet. Действующее лицо может инициировать контакт на одной платформе, а затем попытаться перевести разговор на другую платформу.
- Установив контакт с объектом, угрожающий агент приглашает его к сотрудничеству над репозиторием GitHub и убеждает клонировать и исполнить его содержимое. Репозиторий GitHub может быть публичным или частным. Репозиторий GitHub содержит программное обеспечение, включающее вредоносные зависимости npm. Среди тем программного обеспечения, используемого угрозой, - медиаплееры и инструменты для торговли криптовалютой.
- Вредоносные пакеты npm выступают в роли вредоносного ПО первого этапа, которое загружает и исполняет на компьютере жертвы вредоносное ПО второго этапа. Домены, используемые для загрузки на втором этапе, перечислены ниже.
Зачастую злоумышленники публикуют свои вредоносные пакеты только после получения приглашения от мошеннического репозитория, что сводит к минимуму возможность проверки нового вредоносного пакета.
В некоторых случаях злоумышленники могут поставлять вредоносное ПО непосредственно на платформу обмена сообщениями или файлами, минуя этап приглашения/клонирования репозитория.
Indicators of Compromise
Domains
- bi2price.com
- coingeckoprice.com
- cryptopriceoffer.com
- npmaudit.com
- npmjscloud.com
- npmjsregister.com
- npmrepos.com
- tradingprice.net