3520 подписчиков
#news Ни дня без новостей про Lazarus! ГитХаб рапортует о небольшой кампании группировки на платформе. Цель, как обычно, разработчики в блокчейне, крипте, онлайн-казино и инфобез-среде. Со скомпрометированных аккаунтов реальных рекрутеров и разработчиков или от фейковых персон приходят предложения о сотрудничестве. А дальше в дело идёт малварь.
Втеревшись в доверие, северокорейские лазари предлагают клонировать репу на Гитхабе, ну а в ней вредоносные NPM-зависимости. Они служат в качестве загрузчика, подтягивающих неизвестную малварь. Исследователи отмечают занятную цепочку атаки: особый порядок установки двух разных пакетов на устройстве жертвы. Плюс вредонос сидит на серверах и динамично подтягивается в процессе выполнения. Между тем Гитхаб всё оперативно потёр и опубликовал IoCs по следам кампании. Неугомонные северокорейские стахановцы, теперь и на Гитхабе!
Около минуты
21 июля 2023