Slow Pisces kampány
A UNIT 42 jelentése szerint a Slow Pisces (Jade Sleet, TraderTraitor, PUKCHONG) nevű, Észak-Korea által támogatott fenyegető csoport új kampányt indított, amelyben kriptovaluta-fejlesztőket céloznak meg hamis álláshirdetésekkel és kódolási kihívásokkal.A támadók LinkedIn-en keresztül lépnek kapcsolatba az áldozatokkal, és egy GitHub-projektre mutató PDF-fájlt küldenek, amely látszólag egy fejlesztési feladatot tartalmaz. A projekt futtatása során az áldozat rendszere megfertőződik az RN Loader és RN Stealer nevű rosszindulatú programokkal.
A támadás három fő szakaszból áll: először PDF-csalikat küldenek, amelyek álláshirdetéseket és kérdéssorokat tartalmaznak; másodszor, a GitHubon található kódot futtatják, amely legitim adatforrások mellett egy támadók által ellenőrzött szerverről is adatokat tölt le; harmadszor, a rosszindulatú payloadokat csak az előre kiválasztott célpontoknak küldik el, gyakran YAML deszerializációval végrehajtva a kártékony kódot.
A Slow Pisces csoport 2023-ban több mint 1 milliárd dollárt lopott el a kriptovaluta-szektorból, különböző módszerekkel, például hamis kereskedési alkalmazásokkal, a Node Package Manager (NPM) útján terjesztett rosszindulatú szoftverekkel és ellátási lánc kompromittálásokkal. A csoport korábban 308 millió dollárt lopott el egy japán kriptovaluta-cégtől, és 1,5 milliárd dollárt egy dubaji tőzsdéről.
A Palo Alto Networks Unit 42 csapata megosztotta a fenyegetéssel kapcsolatos információkat a GitHub és a LinkedIn elemzőivel, akik eltávolították a rosszindulatú fiókokat és adattárakat.
