Yavaş Balık, Sahte İş Teklifleriyle Kripto Geliştiricileri Kandırıyor

Slow Pisces adıyla bilinen bir Kuzey Koreli hacker grubu, iş başvurusu sınavları gibi görünen kötü amaçlı kodları çalıştırmaları için kripto para geliştiricilerini kandırıyor.

Jade Sleet ya da TraderTraitor olarak da bilinen grup, 1 milyar doların üzerinde kripto varlık çaldı ve DPRK rejimine gelir sağlama amacıyla sofistike saldırılar gerçekleştirmeye devam ediyor.

Siber güvenlik araştırmacılarına göre, Palo Alto Networks’ün Unit 42 ‘sine göre, Slow Pisces geliştiricilerle LinkedIn’de işe alım uzmanıymış gibi görünerek iletişime geçiyor. Sohbet ettikten sonra, sahte bir iş tanımı PDF olarak gönderiyorlar. Eğer kurban başvurursa, GitHub’da barındırılan gerçek bir proje içeren bir kodlama testi gönderiliyor. Bu proje zararlı yazılımlarla doludur.

Bu sahte projeler genellikle meşru görünür ve gerçek web siteleri gibi Wikipedia’dan bile veri çeker. Ancak kaynaklar arasında, hacker’lar tarafından kontrol edilen bir zararlı site gizlidir. Zararlı yazılım, hedefin konumunu ve sistem detaylarını onayladıktan sonra aktif hale gelir, bu da Slow Pisces’in tespit edilmesini engeller.

Güvenlik sistemlerinin kolayca tespit edebileceği bariz hackleme hilelerini kullanmak yerine, saldırganlar, YAML deserialization adı verilen daha sinsice bir yöntem kullandı. Temel olarak, zararlı kodları zararsız kurulum dosyalarının içinde gizlerler, bu da onları tespit etmeyi zorlaştırır.

Bir kere kurulduğunda, kötü amaçlı yazılım bellekte çalışır ve hard diske iz bırakmaz. Ek olarak RN Loader ve RN Stealer adlı kötü amaçlı yazılımları indirir. RN Loader, temel sistem verilerini toplar, RN Stealer ise kullanıcı adları, kurulu uygulamalar ve dizin içerikleri gibi daha hassas bilgileri toplar, özellikle macOS sistemlerinden.

Palo Alto Networks, kötü amaçlı LinkedIn ve GitHub hesaplarını rapor etti. Her iki platform da şu yanıtı verdi:

“GitHub ve LinkedIn, kendi hizmet şartlarımızı ihlal ettikleri için bu kötü amaçlı hesapları kaldırdı […] Süreçlerimizi geliştirmeye ve iyileştirmeye devam ediyoruz ve müşterilerimizi ve üyelerimizi herhangi bir şüpheli aktiviteyi rapor etmeye teşvik ediyoruz.”

Güvenlik uzmanları, geliştiricilere istenmeyen kodlama meydan okumalarına karşı dikkatli olmalarını ve iş testlerinde bağlantılı URL’leri kontrol etmelerini öneriyor.