Une analyse des indicateurs de compromis (IoC) associé au piratage JumpCloud a découvert des preuves de l’implication de groupes parrainés par l’État nord-coréen, dans un style qui rappelle l’attaque de la chaîne d’approvisionnement ciblant 3CX.
Les résultats proviennent de SentinelOne, qui tracée l’infrastructure relative à l’intrusion pour découvrir les schémas sous-jacents. Il convient de noter que JumpCloud, la semaine dernière, a attribué l’attaque à un « acteur de menace sophistiqué parrainé par un État-nation » sans nom.
« Les acteurs de la menace nord-coréens font preuve d’un haut niveau de créativité et de conscience stratégique dans leurs stratégies de ciblage », a déclaré Tom Hegel, chercheur en sécurité chez SentinelOne, à The Hacker News. « Les résultats de la recherche révèlent une approche réussie et multiforme employée par ces acteurs pour infiltrer les environnements de développement. »
« Ils recherchent activement l’accès à des outils et des réseaux qui peuvent servir de passerelles vers des opportunités plus étendues. Leur tendance à exécuter plusieurs niveaux d’intrusions dans la chaîne d’approvisionnement avant de s’engager dans un vol à motivation financière est remarquable. »
Dans un développement connexe, CrowdStrike, qui travaille avec JumpCloud pour enquêter sur l’incident, a attribué l’attaque à un acteur nord-coréen connu sous le nom de Labyrinth Chollima, un sous-groupe au sein du tristement célèbre groupe Lazarus, selon Reuter.
L’infiltration a été utilisée comme un « tremplin » pour cibler les sociétés de crypto-monnaie, a indiqué l’agence de presse, indiquant une tentative d’une partie de l’adversaire de générer des revenus illégaux pour le pays frappé par les sanctions.
Les révélations coïncident également avec une campagne d’ingénierie sociale à faible volume identifiée par GitHub qui cible les comptes personnels des employés des entreprises technologiques, en utilisant un mélange d’invitations à un référentiel et de dépendances de packages npm malveillants. Les comptes ciblés sont associés aux secteurs de la blockchain, de la crypto-monnaie, du jeu en ligne ou de la cybersécurité.
La filiale de Microsoft a connecté la campagne à un groupe de piratage nord-coréen qu’elle suit sous le nom de Jade Sleet (alias TraderTraitor).
« Jade Sleet cible principalement les utilisateurs associés à la crypto-monnaie et à d’autres organisations liées à la blockchain, mais cible également les fournisseurs utilisés par ces entreprises », a déclaré Alexis Wales de GitHub. a dit dans un rapport publié le 18 juillet 2023.
Les chaînes d’attaque impliquent la création de faux personnages sur GitHub et d’autres services de médias sociaux tels que LinkedIn, Slack et Telegram, bien que dans certains cas, l’acteur menaçant ait pris le contrôle de comptes légitimes.
Sous le personnage supposé, Jade Sleet prend contact avec les cibles et les invite à collaborer sur un référentiel GitHub, convainquant les victimes de cloner et d’exécuter le contenu, qui comprend un logiciel leurre avec des dépendances npm malveillantes qui agissent comme un logiciel malveillant de première étape pour télécharger et exécuter des charges utiles de deuxième étape sur la machine infectée.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Les packages npm malveillants, selon GitHub, font partie d’une campagne qui a été révélée pour la première fois le mois dernier, lorsque Phylum a détaillé une menace pour la chaîne d’approvisionnement impliquant une chaîne d’exécution unique qui utilise une paire de modules frauduleux pour récupérer un malware inconnu à partir d’un serveur distant.
SentinelOne, dans sa dernière analyse, a déclaré 144.217.92[.]197, une adresse IP liée à l’attaque JumpCloud, se résout à npmaudit[.]com, l’un des huit domaines répertoriés par GitHub comme étant utilisé pour récupérer le logiciel malveillant de deuxième étape. Une deuxième adresse IP 23.29.115[.]171 cartes à npm-pool[.]org.
« Il est évident que les acteurs de la menace nord-coréens s’adaptent et explorent en permanence de nouvelles méthodes pour infiltrer les réseaux ciblés », a déclaré Hegel. « L’intrusion JumpCloud illustre clairement leur tendance à cibler la chaîne d’approvisionnement, ce qui entraîne une multitude d’intrusions ultérieures potentielles. »
« La RPDC démontre une profonde compréhension des avantages découlant de la sélection méticuleuse de cibles de grande valeur comme point pivot pour mener des attaques de la chaîne d’approvisionnement vers des réseaux fructueux », a ajouté Hegel.