İş vədi ilə gələn təhlükə: "Contagious Interview" kampaniyasının pərdəarxası

Şimali Koreya ilə əlaqəli kiber təhdid aktorları “Contagious Interview” kimi tanınan məşhur hücum kampaniyası çərçivəsində bu dəfə gözlənilməz üsula əl atıb. 

Valyuta.az xəbər verir ki, hücumçular geniş istifadə olunan və etibarlı hesab edilən “Microsoft Visual Studio Code” proqramını hücum zəncirinin bir hissəsinə çeviriblər.

Bu kampaniya, əsasən Lazarus qrupu da daxil olmaqla, dövlət dəstəyi alan şimali koreyalı haker qruplarının izlərini daşıyır. Hədəf isə Qərb ölkələrində yaşayan proqram təminatı tərtibatçıları və blokçeyn mütəxəssisləridir.

Gerçək kimi görünən saxta işlər

Hücumçular inandırıcı iş elanları hazırlayır və namizədləri onlayn müsahibələrə dəvət edirlər. Proses klassik işə qəbul görüşməsi kimi başlayır. Lakin pərdəarxasında tamamilə fərqli ssenari işləyir.

Görüşmə zamanı namizədlərdən bəzi texniki tapşırıqları yerinə yetirmələri xahiş olunur. Bu mərhələdə qurbanlar fərqinə varmadan öz cihazlarına zərərli proqramlar yükləyirlər. Nəticədə hücumçular təkcə fərdi kompüterlərə deyil, həm də qurbanların çalışdığı şirkət şəbəkələrinə geniş giriş imkanı əldə edirlər.

Kripto oğurluqlarına uzanan kampaniya

“Contagious Interview” kampaniyası yalnız nəzəri təhlükə deyil. Təhlükəsizlik mütəxəssislərinin fikrincə, bu üsul son illərdə baş verən ən iri kriptovalyuta oğurluqlarının bir qisminə görə məsuliyyət daşıyır.

“Jamf” təhlükəsizlik tədqiqatçıları tərəfindən yayımlanan yeni hesabat kampaniyanın ilkin mərhələlərində istifadə olunan texnikaların getdikcə daha mürəkkəb hala gəldiyini göstərir.

"Git" depolarından başlayan tələ

Araşdırmaya əsasən, hücumçular əvvəlcə zərərli "Git" deposu yaradır və onu “GitHub” və ya “GitLab” kimi etibarlı platformalarda yerləşdirirlər. Daha sonra saxta müsahibə prosesi zamanı namizədləri bu deponu öz kompüterlərinə klonlamağa və “Visual Studio Code” üzərindən açmağa yönləndirirlər.

Bu mərhələdə “Visual Studio Code” istifadəçidən depo sahibinə etibar edib-etmədiyini soruşur. Əgər istifadəçi bu addımı təsdiqləyərsə, proqram avtomatik olaraq tasks.json adlı konfiqurasiya faylını işə salır. Hücum da məhz bu anda başlayır.

macOS sistemlərdə səssiz hücum

macOS əməliyyat sistemində bu fayl arxa planda işləyən bir shell vasitəsilə uzaqdakı JavaScript yükləməsini endirir. Adətən “Vercel” kimi platformalardan alınan bu kod Node.js mühitində icra olunur.

İşə düşən JavaScript sistemdə davamlı mexanizm yaradaraq cihaz haqqında məlumatlar toplamağa başlayır. Kompüterin adı, MAC ünvanları və əməliyyat sistemi detalları toplanır və komanda-idarəetmə (C2) serverinə göndərilir.

Arxa qapı proqramı müəyyən aralıqlarla bu serverlə əlaqə saxlayaraq həm sistem məlumatlarını ötürür, həm də yeni zərərli əmrlər qəbul edir.

Təhlükəsizlik mütəxəssislərindən kritik xəbərdarlıqlar

“Jamf” istifadəçiləri bu hücum üsullarına qarşı xəbərdar edir. Şirkət Mac istifadəçilərinin Threat Prevention və Advanced Threat Controls funksiyalarını mütləq aktiv etməli və “bloklama rejimi”ndə işlətməli olduqlarını vurğulayır.

Eyni zamanda tərtibatçılara vacib xatırlatma edilir: tanımadıqları şəxslərdən gələn və ya birbaşa paylaşılan üçüncü tərəf Git depolarına qarşı ehtiyatlı olmaq lazımdır. Bir deponu “Visual Studio Code” daxilində “etibarlı” kimi işarələməzdən əvvəl onun məzmunu mütləq diqqətlə yoxlanılmalıdır.

Paşa Məmmədli