Attacco informatico legato alla Corea del Nord: il caso Bybit e la campagna contro gli sviluppatori
Un gruppo di hacker collegato alla Corea del Nord, noto come Slow Pisces, è stato identificato come responsabile di un massiccio attacco a Bybit nel febbraio 2025. Questo gruppo è stato collegato a una campagna malevola che prende di mira gli sviluppatori, distribuendo un nuovo malware sotto le spoglie di un incarico di programmazione.
Il modus operandi di Slow Pisces
Secondo Palo Alto Networks Unit 42, Slow Pisces, conosciuto anche come Jade Sleet, PUKCHONG, TraderTraitor e UNC4899, ha adottato una strategia ingegnosa. Gli hacker si sono finti potenziali datori di lavoro su LinkedIn, contattando sviluppatori di criptovalute e inviando loro malware camuffato da sfide di programmazione. Queste sfide richiedevano agli sviluppatori di eseguire un progetto compromesso, infettando i loro sistemi con malware denominati RN Loader e RN Stealer.
Target e tecniche di attacco
Slow Pisces ha una storia di attacchi mirati agli sviluppatori, specialmente nel settore delle criptovalute. Gli hacker si avvicinano alle vittime su LinkedIn, proponendo opportunità di lavoro e inducendole ad aprire un documento PDF che descrive un incarico di programmazione ospitato su GitHub. Nel luglio 2023, GitHub ha rivelato che dipendenti di aziende blockchain, di criptovalute, di gioco d’azzardo online e di sicurezza informatica sono stati presi di mira, ingannandoli nell’esecuzione di pacchetti npm malevoli.
La catena di attacco multi-stadio
Nel giugno precedente, Mandiant, di proprietà di Google, ha dettagliato il modus operandi degli attaccanti: inviare un documento PDF benigno su LinkedIn contenente una descrizione del lavoro e, in caso di interesse, un questionario di competenze. Questo includeva istruzioni per completare una sfida di programmazione scaricando un progetto Python trojanizzato da GitHub. Sebbene apparentemente in grado di visualizzare i prezzi delle criptovalute, il progetto era progettato per contattare un server remoto e ottenere un payload di seconda fase non specificato se determinate condizioni erano soddisfatte.
Controllo mirato e distribuzione del payload
La catena di attacco documentata da Unit 42 segue lo stesso approccio, con il payload malevolo inviato solo a obiettivi validati, probabilmente basati su indirizzo IP, geolocalizzazione, tempo e intestazioni delle richieste HTTP. Concentrandosi su individui contattati tramite LinkedIn, anziché su campagne di phishing ampie, il gruppo riesce a controllare strettamente le fasi successive della campagna e a consegnare i payload solo alle vittime previste.
Il malware RN Stealer
Il payload è configurato per eseguire una famiglia di malware chiamata RN Loader, che invia informazioni di base sulla macchina della vittima e sul sistema operativo tramite HTTPS allo stesso server, ricevendo ed eseguendo un blob codificato in Base64 di fase successiva. Il malware appena scaricato è RN Stealer, un infostealer capace di raccogliere informazioni sensibili dai sistemi Apple macOS infetti. Questo include metadati di sistema, applicazioni installate, elenco delle directory e contenuti di alto livello della directory home della vittima, iCloud Keychain, chiavi SSH memorizzate e file di configurazione per AWS, Kubernetes e Google Cloud.
Fonte: The Hackers News
