Lazarus Group's 'Graphalgo' Fake Recruiter Campaign Exploits GitHub, npm, and PyPI to Distribute Malware

Lazarus Group ซึ่งเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้เปิดฉากแคมเปญ ‘Graphalgo’ โดยปลอมตัวเป็นผู้สรรหาบุคลากรเพื่อกำหนดเป้าหมายนักพัฒนาสกุลเงินดิจิทัล แคมเปญนี้เริ่มต้นตั้งแต่เดือนพฤษภาคม 2025 โดยใช้ข้อเสนอการจ้างงานปลอมเพื่อแจกจ่าย Remote Access Trojans (RATs) ผ่านทางแพลตฟอร์มโอเพนซอร์สที่น่าเชื่อถือ เช่น GitHub, npm และ PyPI โดยมีเป้าหมายเพื่อขโมยสินทรัพย์ดิจิทัล

Severity: วิกฤต

System Impact:

• GitHub (ที่เก็บโค้ดสำหรับงานทดสอบ)
• npm (Node Package Manager – แหล่งเก็บแพ็กเกจมัลแวร์)
• PyPI (Python Package Index – แหล่งเก็บแพ็กเกจมัลแวร์)
• ระบบของนักพัฒนาสกุลเงินดิจิทัลและบล็อกเชน
• MetaMask browser extension (เป้าหมายในการขโมยเงินคริปโต)

Technical Attack Steps:

1. ผู้โจมตีติดต่อเหยื่อ (นักพัฒนาคริปโต) ผ่านแพลตฟอร์มเครือข่ายมืออาชีพ เช่น LinkedIn, Facebook หรือฟอรัมของนักพัฒนาอย่าง Reddit.
2. ข้อเสนอการจ้างงานปลอมจากบริษัทปลอมที่เกี่ยวข้องกับบล็อกเชนและตลาดแลกเปลี่ยนสกุลเงินดิจิทัล (เช่น “Veltrix Capital”) ถูกส่งไปให้เหยื่อ.
3. เหยื่อได้รับมอบหมายงานทดสอบการเขียนโค้ดผ่าน GitHub repositories ที่ควบคุมโดยบริษัทปลอม.
4. GitHub repositories เหล่านี้มี dependencies ที่เป็นอันตรายซึ่งชี้ไปยังแพ็กเกจที่ถูกบุกรุกบน npm และ PyPI.
5. เมื่อเหยื่อรันหรือดีบักโค้ดที่ได้รับ ตัวจัดการแพ็กเกจจะติดตั้ง dependencies ที่เป็นอันตรายเหล่านี้โดยอัตโนมัติ.
6. แพ็กเกจที่เป็นอันตรายประกอบด้วยเลเยอร์การซ่อนเร้น (obfuscation) หลายชั้นและ payloads ที่ถูกเข้ารหัส.
7. มัลแวร์ในขั้นตอนที่สอง (RATs) จะถูกดาวน์โหลดจากเซิร์ฟเวอร์ Command-and-Control (C2).
8. payload สุดท้ายคือ RAT ที่ทำงานได้อย่างสมบูรณ์ สามารถรันคำสั่งตามอำเภอใจ อัปโหลดไฟล์ แสดงรายการโปรเซส และตรวจสอบส่วนขยายเบราว์เซอร์ MetaMask ซึ่งบ่งบอกถึงความสนใจในการขโมยเงินคริปโต.
9. RATs ได้รับการพัฒนาในภาษา JavaScript, Python และ Visual Basic Script และสื่อสารกับเซิร์ฟเวอร์ C2 โดยใช้การยืนยันตัวตนแบบป้องกันด้วยโทเค็น.

Recommendations:

Short Term:

• ตรวจสอบยืนยันความถูกต้องของข้อเสนอการจ้างงาน โดยเฉพาะในอุตสาหกรรมสกุลเงินดิจิทัลและบล็อกเชน โดยการตรวจสอบบริษัทและผู้สรรหาบุคลากรผ่านช่องทางอิสระ.
• ระมัดระวังเป็นพิเศษเมื่อต้องจัดการกับแพ็กเกจหรือ Dependencies ใหม่/ที่ไม่รู้จัก แม้จะมาจาก Repository ที่ดูน่าเชื่อถืออย่าง GitHub, npm หรือ PyPI.
• ตรวจสอบ Dependencies ของโปรเจกต์อย่างละเอียด ก่อนรันหรือดีบักโค้ด โดยเฉพาะอย่างยิ่งสำหรับงานที่ได้รับจากภายนอก.
• เฝ้าระวังกิจกรรมเครือข่ายที่ผิดปกติและการทำงานของโปรเซสบนเครื่องมือของนักพัฒนา.
• ใช้การรับรองความถูกต้องด้วยหลายปัจจัย (MFA) สำหรับบัญชีทุกบัญชี โดยเฉพาะบัญชีที่เกี่ยวข้องกับการเงินและการพัฒนา.

Long Term:

• นำแนวทางการรักษาความปลอดภัยของ Supply Chain สำหรับสภาพแวดล้อมการพัฒนามาใช้ เช่น การตรวจสอบ Dependency ของแพ็กเกจอย่างสม่ำเสมอ และการใช้ Private Registries ที่มีการควบคุมอย่างเข้มงวด.
• ให้ความรู้แก่นักพัฒนาเกี่ยวกับกลยุทธ์ Social Engineering ที่ใช้โดยกลุ่ม APT เพื่อให้สามารถระบุและหลีกเลี่ยงการโจมตีได้.
• ติดตั้งและใช้โซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับและตอบสนองต่อกิจกรรมที่เป็นอันตรายบนเครื่องมือของนักพัฒนา.
• ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเคลื่อนที่ด้านข้างของมัลแวร์หากเกิดการประนีประนอม.
• สำรองข้อมูลที่สำคัญและข้อมูลกระเป๋าเงินคริปโตเป็นประจำและเก็บไว้แบบออฟไลน์.
• พิจารณาใช้ Hardware Wallets สำหรับการจัดเก็บสกุลเงินดิจิทัลเพื่อเพิ่มความปลอดภัย.
• รักษาซอฟต์แวร์ความปลอดภัยและระบบปฏิบัติการให้เป็นปัจจุบันอยู่เสมอ.

Source: https://cybersecuritynews.com/lazarus-groups-graphalgo-fake-recruiter-campaign/