СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#ИБ

Lazarus через LinkedIn: дипфейк, Web3-репозиторий и npm-пакеты

Недавний инцидент раскрывает скоординированную попытку кибер‑вторжения со стороны государственных спонсируемых акторов из Lazarus Group. Атака была направлена на высокопрофильные цели в секторах технологий и криптовалют и реализована через профессиональную сеть LinkedIn с последующим использованием репозитория, маскированного под игровую платформу Web3.

Краткая сводка инцидента

Атака началась с рассылки непрошенной вакансии и приглашения на видеозвонок, во время которого использовалась потенциально deepfake-личность. Несоответствия в голосе заставили мишень усомниться и инициировали дальнейшее расследование. При проверке связаного репозитория на GitHub исследователи обнаружили сложную многоступенчатую малварь, замаскированную под легитимный проект игровой платформы.

«Репозиторий имел более чем правдоподобный фасад, с функциями, типичными для современных игровых платформ».

Как происходила атака — по шагам

  • Социальная инженерия через LinkedIn: фальшивая вакансия → приглашение на видеозвонок с потенциальным deepfake.
  • Проверка подозрительной ссылки вела на модифицированный проект на GitHub, выдающий себя за платформу Web3.
  • Первичный пейлоад — компактный JavaScript — доставлялся в окружение Node.js.
  • Пейлоад собирал отпечатки машин и устанавливал связь с командным центром (C2) с частотой опроса ~каждые 5 секунд.
  • Через C2 скачивались и разворачивались последующие компоненты, включая постоянный агент, полностью работающий в памяти (memory‑only), избегая записи на диск.
  • Атака использовала три независимых вектора заражения, которые активировались при доступности связанного каталога проекта.

Технические особенности и методы укрытия

Анализ показал высокий уровень операционной безопасности и мастерства со стороны злоумышленников:

  • Использование легитимных библиотек npm в качестве прикрытия — вредоносный код внедрялся в большой, на вид безобидный пакет, что затрудняло его обнаружение.
  • Многоступенчатая архитектура: от небольшого JavaScript‑пейлоада до памяти‑ориентированного постоянного агента.
  • Memory‑only агент для устойчивости и уклонения от традиционных методов обнаружения (no disk writes).
  • Частый опрос C2 (каждые 5 секунд), быстрые переключения и готовность «схлопнуть» доступ при обнаружении мониторинга.
  • Преднамеренное использование техник обфускации и реального времени мониторинга активности исследователей.

Цели и последствия

Основные цели кампании включали компрометацию конфиденциальной информации и кражу данных:

  • Криптовалютные кошельки;
  • Пароли и учетные данные;
  • SSH‑ключи;
  • Персональные данные сотрудников и связанная конфиденциальная информация.

Данные из модифицированного проекта на GitHub подтверждают, что репозиторий использовался для доставки вредоносного функционала, что указывает на высокую степень подготовки и целенаправленность операций со стороны Lazarus Group.

Индикаторы компрометации (IOC)

К ключевым индикаторам, выявленным в ходе расследования, относятся:

  • Изменённые файлы конфигурации в репозитории, способствовавшие автозапуску и связям с C2;
  • Необычная активность Node.js‑процессов, инициирующих исходящие соединения каждые ~5 секунд;
  • Использование крупных, внешне легитимных npm-пакетов с внедрёнными вредоносными компонентами;
  • Появление memory‑only агентов в оперативной памяти без сопутствующих артефактов на диске;
  • Связи репозитория с подозрительными доменами/IP для C2 коммуникации.

Рекомендации для профессионалов и организаций

  • Усилить верификацию внешних контактов в LinkedIn: двухфакторная проверка, независимая проверка вакансий и приглашений.
  • Ограничить запуск сторонних Node.js скриптов и применять политики контроля выполнения (allow‑listing).
  • Мониторить и блокировать подозрительные исходящие соединения; настроить egress‑фильтрацию для процессов разработки.
  • Проверять целостность и происхождение зависимостей npm, использовать репозитории с проверенной цепочкой доверия и SCA‑инструменты.
  • Внедрять EDR/ XDR-системы с возможностью детектирования memory‑only агентов и аномалий в поведении процессов.
  • Хранить критичные ключи и кошельки в аппаратных кошельках / HSM; не полагаться на локальные файлы с секретами.
  • Разработать процедуры реагирования на снапшоты событий и мониторить модификации исходного кода в публичных репозиториях.

Выводы

Кампания демонстрирует, что государственные акторы, такие как Lazarus Group, развивают тактики и инструментарий для целенаправленных атак на профессиональные сети и экосистемы разработки. Комбинация социальной инженерии через LinkedIn, достоверного фасада проекта на GitHub и использования легитимных npm-пакетов как прикрытия делает подобные атаки особенно опасными.

Ключевая мысль: повышенная бдительность профессионалов в секторах технологий и криптовалют, а также усиление контроля над цепочками поставок ПО — необходимые меры для снижения риска подобных кампаний в будущем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: