هکرهای کره شمالی به دنبال توسعه بدافزار Apple macOS هستند

هکرهای کره شمالی پشت کمپین مصاحبه مسری، در حال توزیع مجموعه ای از گونه های بدافزار Apple macOS به نام FERRET به عنوان بخشی از یک فرآیند مصاحبه شغلی هستند. اهداف معمولاً از طریق لینکی که پیام خطا می‌دهد و درخواست نصب یا به‌روزرسانی نرم‌افزار مورد نیاز مانند VCam یا CameraAccess برای جلسات مجازی را می‌دهد، با مصاحبه کننده ارتباط برقرار می‌کنند.

کمپین مصاحبه مسری، که برای اولین بار در اواخر سال 2023 کشف شد، یک تلاش مداوم است که توسط گروه هکری برای ارائه بدافزار به اهداف احتمالی از طریق بسته های npm جعلی و برنامه های بومی که به عنوان نرم افزار کنفرانس ویدیویی مبدل شده اند، انجام می شود. این زنجیره های حمله به گونه ای طراحی شده اند که یک بدافزار مبتنی بر جاوااسکریپت به نام BeaverTail را رها کنند که علاوه بر برداشت داده های حساس از مرورگرهای وب و کیف پول های رمزنگاری، قادر به ارائه یک درب پشتی پایتون به نام InvisibleFerret است.

کشف خانواده بدافزار FERRET نشان می دهد که بازیگران تهدید به طور فعال تاکتیک های خود را برای فرار از شناسایی تقویت می کنند. این شامل اتخاذ یک رویکرد به سبک ClickFix برای فریب کاربران به کپی و اجرای یک دستور مخرب در سیستم های Apple macOS خود از طریق برنامه ترمینال به منظور رفع مشکل دسترسی به دوربین و میکروفون از طریق مرورگر وب است.

بدافزار FERRET با باز کردن مسائل جعلی در مخازن GitHub قانونی نیز منتشر می شود که بار دیگر به تنوع روش های حمله آنها اشاره دارد. این افشاگری روزها پس از آن صورت می گیرد که شرکت امنیت زنجیره تامین Socket یک بسته npm مخرب به نام postcss-optimizer حاوی بدافزار BeaverTail را تشریح کرد. این کتابخانه همچنان برای دانلود از رجیستری npm در دسترس است. این توسعه همچنین پس از کشف یک کمپین جدید که توسط بازیگر تهدید APT37 (با نام مستعار ScarCruft) وابسته به کره شمالی انجام شد، صورت می گیرد که شامل توزیع اسناد تله گذاری شده از طریق کمپین های نیزه فیشینگ برای استقرار بدافزار RokRAT و همچنین انتشار آنها به اهداف دیگر از طریق چت های گروهی از طریق پلتفرم K Messenger از رایانه کاربر به خطر افتاده بود.

هکرهای کره شمالی بدافزار FERRET را از طریق مصاحبه های شغلی جعلی در macOS مستقر می کنند

به گزارش زوم تک از thehackernews، بازیگران تهدید کره شمالی که پشت کمپین مصاحبه مسری هستند، مشاهده شده اند که مجموعه ای از گونه های بدافزار Apple macOS به نام FERRET را به عنوان بخشی از یک فرآیند مصاحبه شغلی به اصطلاح ارائه می دهند.

فیل استوکس و تام هگل، محققان SentinelOne، در یک گزارش جدید گفتند: “از اهداف معمولاً خواسته می شود که از طریق لینکی که پیام خطا می دهد و درخواست نصب یا به روز رسانی برخی از نرم افزارهای مورد نیاز مانند VCam یا CameraAccess برای جلسات مجازی را می دهد، با یک مصاحبه کننده ارتباط برقرار کنند.”

مصاحبه مسری، که برای اولین بار در اواخر سال 2023 کشف شد، یک تلاش مداوم است که توسط گروه هکری برای ارائه بدافزار به اهداف احتمالی از طریق بسته های npm جعلی و برنامه های بومی که به عنوان نرم افزار کنفرانس ویدیویی مبدل شده اند، انجام می شود. این کمپین همچنین به عنوان DeceptiveDevelopment و DEV#POPPER نیز شناخته می شود.

این زنجیره های حمله به گونه ای طراحی شده اند که یک بدافزار مبتنی بر جاوااسکریپت به نام BeaverTail را رها کنند که، علاوه بر برداشت داده های حساس از مرورگرهای وب و کیف پول های رمزنگاری، قادر به ارائه یک درب پشتی پایتون به نام InvisibleFerret است.

در دسامبر 2024، شرکت امنیت سایبری ژاپنی NTT Security Holdings فاش کرد که بدافزار جاوااسکریپت نیز به گونه ای پیکربندی شده است که بدافزار دیگری به نام OtterCookie را واکشی و اجرا کند.

کشف خانواده بدافزار FERRET، که برای اولین بار در اواخر سال 2024 کشف شد، نشان می دهد که بازیگران تهدید به طور فعال تاکتیک های خود را برای فرار از شناسایی تقویت می کنند.

این شامل اتخاذ یک رویکرد به سبک ClickFix برای فریب کاربران به کپی و اجرای یک دستور مخرب در سیستم های Apple macOS خود از طریق برنامه ترمینال به منظور رفع مشکل دسترسی به دوربین و میکروفون از طریق مرورگر وب است.

به گفته محقق امنیتی تیلور موناهان، که با نام کاربری @tayvano_ شناخته می شود، حملات از جایی شروع می شود که مهاجمان در LinkedIn با وانمود کردن به عنوان استخدام کننده به اهداف نزدیک می شوند و از آنها می خواهند که یک ارزیابی ویدیویی را کامل کنند. هدف نهایی، رها کردن یک درب پشتی و دزدنده مبتنی بر Golang است که برای تخلیه کیف پول MetaMask قربانی و اجرای دستورات روی میزبان طراحی شده است.

برخی از اجزای مرتبط با بدافزار به عنوان FRIENDLYFERRET و FROSTYFERRET_UI شناخته شده اند. SentinelOne گفت که مجموعه دیگری از مصنوعات به نام FlexibleFerret را شناسایی کرده است که وظیفه ایجاد پایداری در سیستم macOS آلوده را از طریق یک LaunchAgent بر عهده دارد.

این بدافزار همچنین به گونه ای طراحی شده است که یک بارگذاری نامشخص را از یک سرور فرمان و کنترل (C2) که دیگر پاسخگو نیست، دانلود کند.

علاوه بر این، مشاهده شده است که بدافزار FERRET با باز کردن مسائل جعلی در مخازن GitHub قانونی منتشر می شود که بار دیگر به تنوع روش های حمله آنها اشاره دارد.

محققان گفتند: “این نشان می دهد که بازیگران تهدید خوشحالند که بردارهایی را که توسط آنها بدافزار را فراتر از هدف قرار دادن خاص جویندگان کار به توسعه دهندگان به طور کلی ارائه می کنند، گسترش دهند.”

این افشاگری روزها پس از آن صورت می گیرد که شرکت امنیت زنجیره تامین Socket یک بسته npm مخرب به نام postcss-optimizer حاوی بدافزار BeaverTail را تشریح کرد. این کتابخانه همچنان برای دانلود از رجیستری npm در دسترس است.

محققان امنیتی کریل بویچنکو و پیتر ون در زی گفتند: “بازیگر تهدید با جعل هویت کتابخانه قانونی postcss، که بیش از 16 میلیارد بار دانلود شده است، قصد دارد سیستم های توسعه دهندگان را با قابلیت های سرقت اعتبار و خروج داده در سیستم های ویندوز، macOS و لینوکس آلوده کند.”

این توسعه همچنین پس از کشف یک کمپین جدید که توسط بازیگر تهدید APT37 (با نام مستعار ScarCruft) وابسته به کره شمالی انجام شد، صورت می گیرد که شامل توزیع اسناد تله گذاری شده از طریق کمپین های نیزه فیشینگ برای استقرار بدافزار RokRAT و همچنین انتشار آنها به اهداف دیگر از طریق چت های گروهی از طریق پلتفرم K Messenger از رایانه کاربر به خطر افتاده بود.