Un análisis de los indicadores de compromiso (IoCs) asociados al hackeo de JumpCloud ha revelado evidencia que apunta a la participación de grupos patrocinados por el estado de Corea del Norte, en un estilo que recuerda al ataque de la cadena de suministro dirigido a 3CX.
Los hallazgos provienen de SentinelOne, que mapeó la infraestructura relacionada con la intrusión para descubrir patrones subyacentes. Vale la pena señalar que JumpCloud, la semana pasada, atribuyó el ataque a un actor amenazante "sofisticado y patrocinado por un estado no identificado".
"Los actores amenazantes de Corea del Norte demuestran un alto nivel de creatividad y conciencia estratégica en sus estrategias de ataque", dijo el investigador de seguridad de SentinelOne, Tom Hegel, a The Hacker News. "Los hallazgos de la investigación revelan un enfoque exitoso y multifacético utilizado por estos actores para infiltrar entornos de desarrollo".
"Buscan activamente acceso a herramientas y redes que pueden servir como puertas de entrada a oportunidades más amplias. Su tendencia a ejecutar múltiples niveles de intrusiones en la cadena de suministro antes de participar en robos con motivación financiera es destacable".
En un desarrollo relacionado, CrowdStrike, que está colaborando con JumpCloud para investigar el incidente, atribuyó el ataque a un actor norcoreano conocido como Labyrinth Chollima, un subgrupo dentro del infame Lazarus Group, según Reuters.
La infiltración fue utilizada como un "trampolín" para atacar a empresas de criptomonedas, según informó la agencia de noticias, indicando un intento por parte del adversario de generar ingresos ilegales para la nación afectada por sanciones.
Las revelaciones también coinciden con una campaña de ingeniería social de bajo volumen identificada por GitHub que apunta a las cuentas personales de empleados de empresas de tecnología, utilizando una combinación de invitaciones a repositorios y dependencias maliciosas de paquetes npm. Las cuentas objetivo están asociadas con sectores de blockchain, criptomonedas, juegos en línea o ciberseguridad.
La subsidiaria de Microsoft conectó la campaña a un grupo de piratería norcoreano que rastrea bajo el nombre Jade Sleet (también conocido como TraderTraitor).
"Jade Sleet se enfoca principalmente en usuarios asociados con criptomonedas y otras organizaciones relacionadas con blockchain, pero también ataca a proveedores utilizados por esas empresas", dijo Alexis Wales de GitHub en un informe publicado el 18 de julio de 2023.
Las cadenas de ataque implican la creación de identidades falsas en GitHub y otros servicios de redes sociales como LinkedIn, Slack y Telegram. En algunos casos, se cree que el actor amenazante ha tomado el control de cuentas legítimas.
Bajo la supuesta identidad, Jade Sleet inicia el contacto con los objetivos y los invita a colaborar en un repositorio de GitHub, convenciendo a las víctimas de clonar y ejecutar los contenidos, que incluyen un software señuelo con dependencias maliciosas de npm que actúan como malware de primera etapa para descargar y ejecutar cargas útiles de segunda etapa en la máquina infectada.
Los paquetes npm maliciosos, según GitHub, forman parte de una campaña que salió a la luz el mes pasado, cuando Phylum detalló una amenaza de cadena de suministro que involucra una cadena de ejecución única que utiliza un par de módulos fraudulentos para obtener un malware desconocido desde un servidor remoto.
SentinelOne, en su último análisis, afirmó que la dirección IP 144.217.92[.]197, vinculada al ataque de JumpCloud, se resuelve en npmaudit[.]com, uno de los ocho dominios listados por GitHub como utilizados para obtener el malware de segunda etapa. Una segunda dirección IP, 23.29.115[.]171, se asigna a npm-pool[.]org.
"Es evidente que los actores amenazantes de Corea del Norte están continuamente adaptándose y explorando métodos novedosos para infiltrar redes objetivo", dijo Hegel. "La intrusión en JumpCloud es una clara ilustración de su inclinación hacia el ataque en la cadena de suministro, que proporciona muchas posibilidades de intrusiones posteriores".
"La RPDC (República Popular Democrática de Corea) demuestra una profunda comprensión de los beneficios derivados de seleccionar meticulosamente objetivos de alto valor como punto de pivote para realizar ataques en la cadena de suministro en redes fructíferas", agregó Hegel.
%2014.04.55.png)
