Un análisis de los indicadores de compromiso (IoC) asociado con el hackeo de JumpCloud ha descubierto evidencia que apunta a la participación de grupos patrocinados por el estado de Corea del Norte, en un estilo que recuerda el ataque a la cadena de suministro dirigido a 3CX.
Los hallazgos provienen de SentinelOne, que trazado la infraestructura relacionada con la intrusión para descubrir patrones subyacentes. Vale la pena señalar que JumpCloud, la semana pasada, atribuyó el ataque a un «actor de amenazas sofisticado patrocinado por el estado-nación» no identificado.
«Los actores de amenazas de Corea del Norte demuestran un alto nivel de creatividad y conciencia estratégica en sus estrategias de selección», dijo el investigador de seguridad de SentinelOne, Tom Hegel, a The Hacker News. «Los hallazgos de la investigación revelan un enfoque exitoso y multifacético empleado por estos actores para infiltrarse en los entornos de los desarrolladores».
«Buscan activamente acceso a herramientas y redes que puedan servir como puertas de entrada a oportunidades más amplias. Es notable su tendencia a ejecutar múltiples niveles de intrusiones en la cadena de suministro antes de involucrarse en robos por motivos financieros».
En un desarrollo relacionado, CrowdStrike, que está trabajando con JumpCloud para investigar el incidente, atribuyó el ataque a un actor norcoreano conocido como Labyrinth Chollima, un subgrupo dentro del infame Grupo Lazarus, según Reuters.
La infiltración se usó como un «trampolín» para apuntar a las empresas de criptomonedas, dijo la agencia de noticias, lo que indica un intento por parte del adversario de generar ingresos ilegales para la nación afectada por las sanciones.
Las revelaciones también coinciden con una campaña de ingeniería social de bajo volumen identificada por GitHub que apunta a las cuentas personales de los empleados de las empresas de tecnología, utilizando una combinación de invitaciones a repositorios y dependencias maliciosas de paquetes npm. Las cuentas objetivo están asociadas con los sectores de blockchain, criptomonedas, juegos de azar en línea o ciberseguridad.
La subsidiaria de Microsoft conectó la campaña con un grupo de piratería de Corea del Norte que rastrea bajo el nombre de Jade Sleet (también conocido como TraderTraitor).
«Jade Sleet se dirige principalmente a usuarios asociados con criptomonedas y otras organizaciones relacionadas con blockchain, pero también se dirige a proveedores utilizados por esas empresas», Alexis Wales de GitHub. dicho en un informe publicado el 18 de julio de 2023.
Las cadenas de ataque implican configurar personas falsas en GitHub y otros servicios de redes sociales como LinkedIn, Slack y Telegram, aunque en algunos casos se cree que el actor de amenazas ha tomado el control de cuentas legítimas.
Bajo la personalidad asumida, Jade Sleet inicia el contacto con los objetivos y los invita a colaborar en un repositorio de GitHub, convenciendo a las víctimas de que clonen y ejecuten los contenidos, que cuentan con software señuelo con dependencias maliciosas de npm que actúan como malware de primera etapa para descargar y ejecutar cargas útiles de segunda etapa en la máquina infectada.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Los paquetes npm maliciosos, según GitHub, son parte de una campaña que salió a la luz el mes pasado, cuando Phylum detalló una amenaza en la cadena de suministro que involucra una cadena de ejecución única que utiliza un par de módulos fraudulentos para obtener una pieza desconocida de malware de un servidor remoto.
SentinelOne, en su último análisis, dijo 144.217.92[.]197, una dirección IP vinculada al ataque JumpCloud, se resuelve en npmaudit[.]com, uno de los ocho dominios enumerados por GitHub como utilizados para obtener el malware de segunda etapa. Una segunda dirección IP 23.29.115[.]171 mapas a npm-piscina[.]organización.
«Es evidente que los actores de amenazas de Corea del Norte se adaptan y exploran continuamente métodos novedosos para infiltrarse en las redes específicas», dijo Hegel. «La intrusión de JumpCloud sirve como una clara ilustración de su inclinación hacia la orientación de la cadena de suministro, lo que genera una multitud de posibles intrusiones posteriores».
«La RPDC demuestra una profunda comprensión de los beneficios derivados de la selección meticulosa de objetivos de alto valor como punto de pivote para realizar ataques a la cadena de suministro en redes fructíferas», agregó Hegel.