JSON Servislerinin Tehdit Olarak Kullanımı
Kuzey Koreli siber tehdit aktörleri, “Contagious Interview” kampanyası ile yeniden taktiklerini güncelleyerek JSON depolama hizmetlerini kötü amaçlı yazılım yükleme kanalları olarak kullanmaya başladı. Bu rapor, NVISO araştırmacıları Bart Parys, Stef Collart ve Efstratios Lontzetidis tarafından hazırlanmıştır.
Kampanyanın Temel Olayları
Bu siber saldırılar, hedeflere LinkedIn gibi profesyonel ağ siteleri üzerinden yaklaşmakta ve genellikle iş değerlendirmesi veya projede işbirliği yapma vaadiyle başlamaktadır. Hedeflere, GitHub veya GitLab gibi platformlarda barındırılan bir demo proje indirtilmektedir.
NVISO araştırmacıları tarafından tespit edilen bir proje örneğinde, “server/config/.config.env” isimli bir dosyada, gerçek bir API anahtarı gibi görünen ancak JSON depolama hizmetlerine yönlendiren Base64 kodlu bir değer yer almaktadır. Bu durum, kötü niyetli yazılımının sonraki aşamasının obfuscate edilmiş bir formatta burada saklandığını göstermektedir.
Kötü Amaçlı Yazılım ve Fonksiyonları
Bu kampanyada kullanılan kötü amaçlı yazılımın adı “BeaverTail”dır. BeaverTail, hassas verileri toplayabilme yeteneğine sahipken, bir Python arka kapı olan “InvisibleFerret” yüklemesi yapmaktadır. Palo Alto Networks’ün 2023’teki belgeleriyle eşleşen bu arka kapının önemli bir yeniliği, Pastebin üzerinden “TsunamiKit” adında ek bir yükün indirilmesi işlemidir.
Tehditlerin Sürekli Evrimi
TsunamiKit’in kullanımı, ESET tarafından 2025’in Eylül ayında vurgulanmış olup, bu saldırılar aynı zamanda Tropidoor ve AkdoorTea türü kötü amaçlı yazılımları da içermektedir. Bu araç seti, sistem parmak izi alma, veri toplama ve çevrimiçi .onion adreslerinden daha fazla yük alma yeteneğine sahiptir.
Stratejik Yaklaşımlar ve Hedefler
Contagious Interview arka planındaki aktörlerin, ilginç buldukları geliştiricileri hedef alarak geniş bir ağ kurmaya çalıştıkları ve hassas verileri ile kripto cüzdan bilgilerini ele geçirmeyi amaçladıkları açıktır. Bu durum, yazılım geliştiricileri için büyük bir tehdit oluşturmakta ve bu tür kampanyaların artması beklenmektedir.
Dahası, JSON Keeper, JSON Silo ve npoint.io gibi meşru web siteleri ile GitHub ve GitLab gibi kod havuzlarının kullanımı, bu aktörlerin amacını ve normal trafiğe karışarak nasıl gizli kalmayı hedeflediklerini gözler önüne sermektedir.
