Descrizione e potenziali impatti

Ricercatori di sicurezza di SecurityScorecard hanno recentemente rilevato una nuova campagna di attacchi informatici, battezzata “Operation 99”, indirizzata a sviluppatori software nel settore Web3 e criptovalute.

L’attacco ha inizio con dei falsi reclutatori che, su piattaforme come LinkedIn, attirano sviluppatori software con offerte di lavoro in test di progetto e revisioni di codice.

Una volta adescata la vittima, questa viene indotta a clonare un repository GitLab malevolo. Successivamente il codice clonato si collega a un server di comando e controllo (C2) infettando con malware il dispositivo della vittima.

Dettagli del malware

Come riportato dai ricercatori di SecurityScorecard, gli attori malevoli sfruttano un’infrastruttura C2 sofisticata, che fa uso di script python altamente offuscati, in modo da eludere i sistemi di sicurezza.

Nel dettaglio, l’attacco utilizza un malware multistadio con componenti modulari che includono un downloader che scarica payload aggiuntivi da server C2, i quali hanno funzionalità di keylogging, lettura della clipboard, esfiltrazione di file e delle credenziali salvate nei browser web più diffusi. Inoltre, il malware è personalizzato per target specifici, assicurando la compatibilità con il sistema operativo della vittima.

Gli obiettivi della campagna sono quelli di ottenere:

• Proprietà intellettuale : codice sorgente estratto dagli ambienti di sviluppo delle vittime
• Informazioni riservate : file di configurazione, chiavi API, credenziali
• Criptovalute : chiavi di wallet

Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi attuando le seguenti misure:

• organizzare periodiche sessioni di formazione finalizzate a riconoscere elementi sospetti all’interno delle comunicazioni ricevute;
• verificare l’attendibilità dei repository Git prima di clonarli;
• dotarsi di sistemi di protezione antimalware avanzati per rilevare attività anomale.

Infine, si raccomanda di valutare la verifica e l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC) [1] forniti in allegato.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.