Slow Pisces nedir? Kimler hedefleniyor? Hedeflenen kod geliştiricileri nasıl etkiliyor? Bu kötü niyetli yazılımlar nasıl çalışıyor? Bunu suçlular nasıl gizliyor? Neler yapılmalı?
Slow Pisces nedir?
Slow Pisces, Kuzey Kore merkezli bir hacker grubudur. Bu grup, özellikle kripto para sektöründe çalışan yazılım geliştiricilerini hedef alarak çeşitli siber saldırılar gerçekleştirmektedir. Kendilerini TraderTraitor veya Jade Sleet olarak da tanıtan grup, sahte iş teklifleri ve programlama yarışmaları ile yazılımcıları tuzağa düşürerek sistemlerine sızmak için kötü niyetli yazılımlar kullanmaktadır. Bu saldırılar sonucunda önemli miktarda kripto para çalınmaktadır; 2023 yılı boyunca 1 milyar dolardan fazla çalınan fonların sorumlusu olarak gösterilmektedir.
Kimler hedefleniyor?
Hedef kitle olarak, yazılım geliştiriciler özellikle LinkedIn üzerinden yapılan sahte iş ilanlarıyla çekilmektedir. Genellikle kripto para alanında faaliyet gösteren profesyoneller, bu grup tarafından hazırlanan iş ilanları ile cezbedilmekte ve programlama testlerine yönlendirilmektedir. Hedefledikleri kişiler, daha çok yeni mezunlar ve deneyimli yazılımcılardır. Bu tür iş ilanları, genellikle konum açısından esnek olmasının yanı sıra, cazip maaş teklifleriyle doludur, bu da potansiyel victimlerin dikkatini çeker.
Hedeflenen kod geliştiricileri nasıl etkileniyor?
Sahte iş teklifleri alan geliştiriciler, başlangıçta PDF formatında iş tanımlarıyla karşılaşmakta, ardından GitHub üzerinde barındırılan programlama ödevleri ile karşılaşıyorlar. Bu ödevler, görünüşte yerleşik açık kaynak projelerine dayansa da, arka planda gizli kötü niyetli yazılımlar içerecek şekilde değiştirilmiştir. Geliştiriciler, iş başvurusu gereği bu kodları tamamlarken aslında RN Loader ve RN Stealer gibi zararlı yazılımları sistemlerine kurmuş olurlar. Bu tür tuzak projeler, gerçek geliştirici araçları ve uygulamalarını taklit eder ve suçlular tarafından kontrol edilen alanlara veri gönderir.
Bunu suçlular nasıl gizliyor?
Kötü niyetli yazılımlar, birçok tespit aracından kaçmak amacıyla YAML deserializasyonu gibi teknikler kullanır. Genellikle yaygın olarak engellenen eval veya exec gibi işlevlere başvurulmadan, kötü amacı gerçekleştirmek için daha zor tespit edilen yöntemler kullanılır. Bu yazılımlar, hafızada doğrudan yüklenen ve çalıştırılan ilave yükleri getirir, böylece tespit edilmeleri ve kaldırılmaları zorlaşır. Örneğin, RN Stealer adlı yük, kullanıcı adı ve parolalar, bulut yapılandırma dosyaları, depolanan SSH anahtarları gibi verileri hedef alarak macOS sistemlerinden bilgi sızdırmak için özel olarak tasarlanmıştır.
Neler yapılmalı?
Bu tür kötü niyetli yazılımların önüne geçilmesi için pek çok önlem alınabilir. İlk olarak, uzaktan iş teklifleri ve programlama testleri ile ilgili yaklaşan kişilerle dikkatli olunmalıdır. Geliştiricilerin güçlü antivirüs yazılımları kullanması ve bilinmeyen kodları, özellikle de hassas sektörler için güvenli ortamlar içerisinde çalıştırmaları önerilmektedir. Ayrıca, güvenlik açısından en iyi IDE’lerin (Entegre Geliştirme Ortamları) kullanıldığından emin olunmalıdır; bu tür ortamlar genellikle entegre güvenlik özellikleri bulundurur. Güvenli bir kontrol ortamında çalışmak ve dikkatli olmak, devlet destekli siber tehditlere kapılma riskini önemli ölçüde azaltır.
Kısaca, yazılım geliştiriciler güvenlik standartlarına dikkat etmeli ve özellikle yeni iş bağlantıları kurarken ihtiyatlı davranmalıdır. Siber suçların artışı, yazılım geliştiricilerin her zamankinden daha dikkatli ve temkinli olmalarını gerektirmektedir. Yalnızca kötü niyetli yazılımların nasıl çalıştığını bilmekle kalmayıp, aynı zamanda siber güvenlik konusunda sürekli eğitim almak ve güncel kalmak, gece gündüz çalışan bu tehditlere karşı etkili bir koruma sağlayabilir.
