En ny cybertrussel er blevet opdaget, hvor den nordkoreanske hackergruppe, kendt som Lazarus, målretter sig mod personer i kryptovaluta- og rejsebranchen. Angrebet starter med falske jobtilbud på professionelle netværk som LinkedIn, hvor ofrene lokkes med løfter om fjernarbejde, fleksible arbejdstider og god løn.
Når en person viser interesse, beder den falske rekrutteringsagent om et CV eller et link til personens GitHub-profil. Disse tilsyneladende harmløse anmodninger bruges til at indsamle personlige data og give interaktionen et skær af legitimitet. Herefter deler angriberen et link til et GitHub- eller Bitbucket-repositorium, der angiveligt indeholder et minimumsprodukt (MVP) af et decentraliseret børsprojekt (DEX), og beder offeret om at evaluere det.
Koden i dette projekt indeholder et skjult script, der henter en JavaScript-baseret informationsstjæler fra en ekstern server. Denne malware er designet til at inficere flere operativsystemer, herunder Windows, macOS og Linux, og sigter mod at stjæle data fra forskellige kryptovaluta-tegnebogsudvidelser i brugerens browser. Derudover fungerer malwaren som en loader, der henter en Python-baseret bagdør, som overvåger udklipsholderen, opretholder vedvarende fjernadgang og kan installere yderligere skadelig software.
Ifølge cybersikkerhedsfirmaet Bitdefender er denne angrebskæde kompleks og involverer skadelig software skrevet i flere programmeringssprog samt brug af forskellige teknologier. Dette inkluderer flerlags Python-scripts, der dekoder og eksekverer sig selv, en JavaScript-baseret informationsstjæler, der først indsamler browserdata, før den henter yderligere payloads, og .NET-baserede stagers, der kan deaktivere sikkerhedsværktøjer, konfigurere en Tor-proxy og starte kryptomineringssoftware.
Denne type angreb understreger vigtigheden af at være på vagt over for uopfordrede jobtilbud og altid verificere afsenderens identitet. Det anbefales at undlade at downloade eller køre ukendt software uden først at have undersøgt det grundigt.
Kilde:
“Cross-Platform JavaScript Stealer Targets Crypto Wallets in New Lazarus Group Campaign” – The Hacker News, 5. februar 2025.
