20 Gennaio 2025 13:30    Alert

Operation 99" prende di mira gli sviluppatori software

È stata scoperta una nuova campagna di attacchi informatici, denominata Operation 99, attribuita al gruppo Lazarus, noto per essere sponsorizzato dalla Corea del Nord. L'operazione prende di mira sviluppatori software, in particolare nei settori Web e delle criptovalute, utilizzando tecniche avanzate di inganno e malware modulari.

Dettagli dell'attacco

  • Modalità di attacco: I criminali si spacciano per reclutatori su piattaforme come LinkedIn, attirando le vittime con offerte di lavoro e test di progetto. Gli sviluppatori vengono poi indotti a clonare repository GitLab malevoli, che contengono codice infetto collegato a server di comando e controllo (C2).
  • Obiettivi: Furto di dati sensibili come codice sorgente, wallet di criptovaluta e credenziali. Gli attacchi mirano anche a compromettere i sistemi operativi (Windows, macOS e Linux) per esfiltrare informazioni critiche.
  • Malware utilizzato: La campagna impiega malware modulari come Main99, che funge da downloader, e payload aggiuntivi (es. Payload99/73, Brow99/73 e MCLIP) per attività come keylogging, furto di credenziali e monitoraggio del clipboard.

Impatto globale

Le vittime sono state identificate in diversi paesi, con una concentrazione significativa in Italia. Altri paesi coinvolti includono Francia, Germania, Regno Unito, Stati Uniti e molti altri.

Raccomandazioni

  1. Verificare le offerte di lavoro: Diffidare di comunicazioni non richieste su LinkedIn o altre piattaforme.
  2. Analisi dei repository Git: Controllare attentamente il codice prima di clonarlo o eseguirlo.
  3. Aggiornamenti di sicurezza: Mantenere sistemi operativi e software sempre aggiornati.
  4. Protezione endpoint: Utilizzare soluzioni avanzate per rilevare attività sospette.
  5. Formazione: Sensibilizzare gli sviluppatori sui rischi legati agli attacchi di social engineering.

 

Fonti: CSIRT Italia, TheHackerNews