Tin tặc Triều Tiên biến dịch vụ JSON thành kênh phân phối mã độc bí mật

Starlink · T.M.Một 21, 2025, 09:00:05 CHIỀU

Những kẻ đe dọa từ Triều Tiên đứng sau chiến dịch Phỏng vấn lây nhiễm đã một lần nữa điều chỉnh chiến thuật của mình bằng cách sử dụng dịch vụ lưu trữ JSON để dàn dựng các phần mềm độc hại.

Các nhà nghiên cứu Bart Parys, Stef Collart và Efstratios Lontzetidis của NVISO cho biết trong báo cáo hôm thứ Năm : "Gần đây, những kẻ tấn công đã sử dụng các dịch vụ lưu trữ JSON như JSON Keeper, JSONsilo và Đăng nhập để xem liên kết để lưu trữ và phân phối phần mềm độc hại từ các dự án mã độc trojan bằng mồi nhử".

Chiến dịch này về cơ bản bao gồm việc tiếp cận các mục tiêu tiềm năng trên các trang web mạng lưới chuyên nghiệp như LinkedIn, với lý do là tiến hành đánh giá công việc hoặc hợp tác trong một dự án, trong đó họ được hướng dẫn tải xuống một dự án demo được lưu trữ trên các nền tảng như GitHub, GitLab hoặc Bitbucket.

Trong một dự án như vậy được NVISO phát hiện, người ta đã phát hiện ra rằng một tệp có tên "server/config/.config.env" chứa giá trị được mã hóa Base64 ngụy trang thành khóa API, nhưng thực chất là một URL đến dịch vụ lưu trữ JSON như JSON Keeper, nơi dữ liệu giai đoạn tiếp theo được lưu trữ ở định dạng được làm tối nghĩa.

Phần mềm độc hại này là một mã độc JavaScript có tên BeaverTail, có khả năng thu thập dữ liệu nhạy cảm và cài đặt một backdoor Python tên là InvisibleFerret. Mặc dù chức năng của backdoor này hầu như không thay đổi so với lần đầu tiên được Palo Alto Networks ghi nhận vào cuối năm 2023, nhưng một thay đổi đáng chú ý liên quan đến việc tải thêm một payload có tên là TsunamiKit từ Pastebin.

Cần lưu ý rằng việc sử dụng TsunamiKit như một phần của chiến dịch Phỏng vấn Lây lan đã được ESET nhấn mạnh vào tháng 9 năm 2025, cùng với các cuộc tấn công nhắm vào Tropidoor và AkdoorTea. Bộ công cụ này có khả năng lấy dấu vân tay hệ thống, thu thập dữ liệu và tải thêm dữ liệu từ địa chỉ .onion được mã hóa cứng hiện đang ngoại tuyến.

Các nhà nghiên cứu kết luận: "Rõ ràng là những kẻ đứng sau Contagious Interview không hề chậm trễ và đang cố gắng giăng lưới rất rộng để xâm phạm bất kỳ nhà phát triển (phần mềm) nào mà chúng thấy thú vị, dẫn đến việc đánh cắp dữ liệu nhạy cảm và thông tin ví tiền điện tử".

"Việc sử dụng các trang web hợp pháp như JSON Keeper, JSON Silo và Đăng nhập để xem liên kết, cùng với các kho lưu trữ mã như GitLab và GitHub, nhấn mạnh động cơ và nỗ lực liên tục của tin tặc nhằm hoạt động lén lút và hòa nhập vào lưu lượng truy cập bình thường."

VietNetwork.Vn

Tìm kiếm