เกาหลีเหนือใช้ JSON Keeper และ GitLab แพร่ BeaverTail Spyware
นักวิจัยจาก NVISO พบว่าแคมเปญ Contagious Interview ซึ่งดำเนินการโดยกลุ่ม APT ของเกาหลีเหนือ ได้พัฒนาเทคนิคใหม่ในการแพร่มัลแวร์ โดยใช้บริการเก็บข้อมูล JSON เช่น JSON Keeper, JSONsilo และ npoint.io เพื่อซ่อนโค้ดอันตราย และส่งต่อผ่านโปรเจกต์ที่ถูกปลอมแปลงบน GitLab
กลุ่มนี้มักแอบอ้างเป็น ผู้สรรหางาน (recruiter) หรือบุคคลที่มีตำแหน่งทางการแพทย์ เพื่อหลอกล่อนักพัฒนาให้ดาวน์โหลดโปรเจกต์ที่ดูเหมือนงานทดสอบ เช่น “Real Estate Rental Platform” หรือ “Web3 Monopoly Clone” แต่ภายในมีไฟล์ที่ซ่อนตัวแปร base64 ซึ่งจริง ๆ แล้วเป็นลิงก์ไปยังโค้ดที่ถูกเข้ารหัสและเก็บไว้บน JSON Keeper เมื่อถอดรหัสแล้วจะโหลดมัลแวร์ BeaverTail เข้าสู่ระบบ
BeaverTail มีความสามารถในการ ขโมยข้อมูลสำคัญ เช่น รหัสผ่าน, กระเป๋าเงินคริปโต (MetaMask, Phantom, TronLink), ข้อมูลระบบ, เอกสาร PDF และแม้กระทั่งข้อมูลจาก macOS Keychain หลังจากนั้นยังสามารถดาวน์โหลดมัลแวร์ขั้นต่อไปชื่อ InvisibleFerret ซึ่งเป็น RAT (Remote Access Trojan) ที่มีโมดูลเสริม เช่น Tsunami Payload และ Tsunami Injector เพื่อสร้าง persistence และติดตั้งแพ็กเกจ Python โดยอัตโนมัติ
สิ่งที่น่ากังวลคือการใช้บริการที่ถูกต้องตามกฎหมาย เช่น GitLab, GitHub, Railway และ TOR เพื่อซ่อนการโจมตี ทำให้การตรวจจับยากขึ้น และเพิ่มความเสี่ยงต่อผู้พัฒนาในสายงาน blockchain และ Web3 ที่มักต้องดาวน์โหลดโค้ดจากแหล่งภายนอกอยู่แล้ว
สรุปประเด็นสำคัญ
เทคนิคการโจมตีใหม่ของ Contagious Interview
ใช้ JSON Keeper และ GitLab ในการแพร่โค้ดอันตราย
ปลอมตัวเป็น recruiter ส่งโปรเจกต์ทดสอบให้เหยื่อดาวน์โหลด
ความสามารถของ BeaverTail Spyware
ขโมยรหัสผ่าน, กระเป๋าเงินคริปโต และข้อมูลระบบ
เก็บเอกสาร, PDF, screenshot และข้อมูลจาก macOS Keychain
การแพร่มัลแวร์ขั้นต่อไป InvisibleFerret RAT
มีโมดูล Tsunami Payload/Injector/Infector
สามารถสร้าง persistence และติดตั้ง Python packages โดยอัตโนมัติ
คำเตือนและความเสี่ยง
การใช้บริการที่ถูกต้องตามกฎหมาย เช่น GitLab และ JSON storage ทำให้ตรวจจับยาก
นักพัฒนา blockchain และ Web3 เสี่ยงสูงต่อการถูกโจมตี
การดาวน์โหลดโปรเจกต์จากแหล่งที่ไม่น่าเชื่อถืออาจนำไปสู่การติดมัลแวร์โดยไม่รู้ตัว
https://securityonline.info/north-koreas-contagious-interview-apt-uses-json-keeper-and-gitlab-to-deliver-beavertail-spyware/
นักวิจัยจาก NVISO พบว่าแคมเปญ Contagious Interview ซึ่งดำเนินการโดยกลุ่ม APT ของเกาหลีเหนือ ได้พัฒนาเทคนิคใหม่ในการแพร่มัลแวร์ โดยใช้บริการเก็บข้อมูล JSON เช่น JSON Keeper, JSONsilo และ npoint.io เพื่อซ่อนโค้ดอันตราย และส่งต่อผ่านโปรเจกต์ที่ถูกปลอมแปลงบน GitLab
กลุ่มนี้มักแอบอ้างเป็น ผู้สรรหางาน (recruiter) หรือบุคคลที่มีตำแหน่งทางการแพทย์ เพื่อหลอกล่อนักพัฒนาให้ดาวน์โหลดโปรเจกต์ที่ดูเหมือนงานทดสอบ เช่น “Real Estate Rental Platform” หรือ “Web3 Monopoly Clone” แต่ภายในมีไฟล์ที่ซ่อนตัวแปร base64 ซึ่งจริง ๆ แล้วเป็นลิงก์ไปยังโค้ดที่ถูกเข้ารหัสและเก็บไว้บน JSON Keeper เมื่อถอดรหัสแล้วจะโหลดมัลแวร์ BeaverTail เข้าสู่ระบบ
BeaverTail มีความสามารถในการ ขโมยข้อมูลสำคัญ เช่น รหัสผ่าน, กระเป๋าเงินคริปโต (MetaMask, Phantom, TronLink), ข้อมูลระบบ, เอกสาร PDF และแม้กระทั่งข้อมูลจาก macOS Keychain หลังจากนั้นยังสามารถดาวน์โหลดมัลแวร์ขั้นต่อไปชื่อ InvisibleFerret ซึ่งเป็น RAT (Remote Access Trojan) ที่มีโมดูลเสริม เช่น Tsunami Payload และ Tsunami Injector เพื่อสร้าง persistence และติดตั้งแพ็กเกจ Python โดยอัตโนมัติ
สิ่งที่น่ากังวลคือการใช้บริการที่ถูกต้องตามกฎหมาย เช่น GitLab, GitHub, Railway และ TOR เพื่อซ่อนการโจมตี ทำให้การตรวจจับยากขึ้น และเพิ่มความเสี่ยงต่อผู้พัฒนาในสายงาน blockchain และ Web3 ที่มักต้องดาวน์โหลดโค้ดจากแหล่งภายนอกอยู่แล้ว
สรุปประเด็นสำคัญ
เทคนิคการโจมตีใหม่ของ Contagious Interview
ใช้ JSON Keeper และ GitLab ในการแพร่โค้ดอันตราย
ปลอมตัวเป็น recruiter ส่งโปรเจกต์ทดสอบให้เหยื่อดาวน์โหลด
ความสามารถของ BeaverTail Spyware
ขโมยรหัสผ่าน, กระเป๋าเงินคริปโต และข้อมูลระบบ
เก็บเอกสาร, PDF, screenshot และข้อมูลจาก macOS Keychain
การแพร่มัลแวร์ขั้นต่อไป InvisibleFerret RAT
มีโมดูล Tsunami Payload/Injector/Infector
สามารถสร้าง persistence และติดตั้ง Python packages โดยอัตโนมัติ
คำเตือนและความเสี่ยง
การใช้บริการที่ถูกต้องตามกฎหมาย เช่น GitLab และ JSON storage ทำให้ตรวจจับยาก
นักพัฒนา blockchain และ Web3 เสี่ยงสูงต่อการถูกโจมตี
การดาวน์โหลดโปรเจกต์จากแหล่งที่ไม่น่าเชื่อถืออาจนำไปสู่การติดมัลแวร์โดยไม่รู้ตัว
https://securityonline.info/north-koreas-contagious-interview-apt-uses-json-keeper-and-gitlab-to-deliver-beavertail-spyware/
🕵️♂️ เกาหลีเหนือใช้ JSON Keeper และ GitLab แพร่ BeaverTail Spyware
นักวิจัยจาก NVISO พบว่าแคมเปญ Contagious Interview ซึ่งดำเนินการโดยกลุ่ม APT ของเกาหลีเหนือ ได้พัฒนาเทคนิคใหม่ในการแพร่มัลแวร์ โดยใช้บริการเก็บข้อมูล JSON เช่น JSON Keeper, JSONsilo และ npoint.io เพื่อซ่อนโค้ดอันตราย และส่งต่อผ่านโปรเจกต์ที่ถูกปลอมแปลงบน GitLab
กลุ่มนี้มักแอบอ้างเป็น ผู้สรรหางาน (recruiter) หรือบุคคลที่มีตำแหน่งทางการแพทย์ เพื่อหลอกล่อนักพัฒนาให้ดาวน์โหลดโปรเจกต์ที่ดูเหมือนงานทดสอบ เช่น “Real Estate Rental Platform” หรือ “Web3 Monopoly Clone” แต่ภายในมีไฟล์ที่ซ่อนตัวแปร base64 ซึ่งจริง ๆ แล้วเป็นลิงก์ไปยังโค้ดที่ถูกเข้ารหัสและเก็บไว้บน JSON Keeper เมื่อถอดรหัสแล้วจะโหลดมัลแวร์ BeaverTail เข้าสู่ระบบ
BeaverTail มีความสามารถในการ ขโมยข้อมูลสำคัญ เช่น รหัสผ่าน, กระเป๋าเงินคริปโต (MetaMask, Phantom, TronLink), ข้อมูลระบบ, เอกสาร PDF และแม้กระทั่งข้อมูลจาก macOS Keychain หลังจากนั้นยังสามารถดาวน์โหลดมัลแวร์ขั้นต่อไปชื่อ InvisibleFerret ซึ่งเป็น RAT (Remote Access Trojan) ที่มีโมดูลเสริม เช่น Tsunami Payload และ Tsunami Injector เพื่อสร้าง persistence และติดตั้งแพ็กเกจ Python โดยอัตโนมัติ
สิ่งที่น่ากังวลคือการใช้บริการที่ถูกต้องตามกฎหมาย เช่น GitLab, GitHub, Railway และ TOR เพื่อซ่อนการโจมตี ทำให้การตรวจจับยากขึ้น และเพิ่มความเสี่ยงต่อผู้พัฒนาในสายงาน blockchain และ Web3 ที่มักต้องดาวน์โหลดโค้ดจากแหล่งภายนอกอยู่แล้ว
📌 สรุปประเด็นสำคัญ
✅ เทคนิคการโจมตีใหม่ของ Contagious Interview
➡️ ใช้ JSON Keeper และ GitLab ในการแพร่โค้ดอันตราย
➡️ ปลอมตัวเป็น recruiter ส่งโปรเจกต์ทดสอบให้เหยื่อดาวน์โหลด
✅ ความสามารถของ BeaverTail Spyware
➡️ ขโมยรหัสผ่าน, กระเป๋าเงินคริปโต และข้อมูลระบบ
➡️ เก็บเอกสาร, PDF, screenshot และข้อมูลจาก macOS Keychain
✅ การแพร่มัลแวร์ขั้นต่อไป InvisibleFerret RAT
➡️ มีโมดูล Tsunami Payload/Injector/Infector
➡️ สามารถสร้าง persistence และติดตั้ง Python packages โดยอัตโนมัติ
‼️ คำเตือนและความเสี่ยง
⛔ การใช้บริการที่ถูกต้องตามกฎหมาย เช่น GitLab และ JSON storage ทำให้ตรวจจับยาก
⛔ นักพัฒนา blockchain และ Web3 เสี่ยงสูงต่อการถูกโจมตี
⛔ การดาวน์โหลดโปรเจกต์จากแหล่งที่ไม่น่าเชื่อถืออาจนำไปสู่การติดมัลแวร์โดยไม่รู้ตัว
https://securityonline.info/north-koreas-contagious-interview-apt-uses-json-keeper-and-gitlab-to-deliver-beavertail-spyware/
0 ความคิดเห็น
0 การแบ่งปัน
17 มุมมอง
0 รีวิว
English