Исследователи в области кибербезопасности зафиксировали новый этап активности северокорейской APT-группировки Lazarus Group, которая теперь использует популярные JSON-сервисы хранения данных для размещения вредоносных файлов.
Такая техника позволяет злоумышленникам максимально незаметно внедрять вредоносный код в инфраструктуры компаний, при этом маскируясь под обычный JSON-контент, используемый в разработке.
Эти атаки стали частью кампании Contagious Interview, направленной прежде всего на разработчиков и инженеров, которых злоумышленники вовлекают через LinkedIn, GitHub и другие профессиональные каналы.
🔍 Что произошло: краткая суть инцидента
Команда NVISIO сообщает, что Lazarus Group активно использует следующие JSON-хранилища:
- JSON Keeper
- JSONsilo
- npoint.io
В процессе расследования эксперты нашли в скомпрометированном проекте Base64-значение, которое выглядело как API-ключ, но на деле расшифровывалось как URL к JSON-хранилищу, содержащему вредоносные полезные нагрузки.
Внутри JSON-файлов были обнаружены:
- BeaverTail — инфостилер и загрузчик,
- InvisibleFerret — Python-бэкдор,
- TsunamiKit — многоэтапный инструмент, работающий как инфостилер или как криптомайнер.
Эти программы не только воруют чувствительные данные, включая криптокошельки, но и способны майнить Monero через XMRig, что превращает заражённые устройства в элементы криптомайнинг-фермы.
🎯 Сценарий атаки: как действует Lazarus
Атака тщательно выстроена и поэтапна:
1. Создание фальшивых профилей в LinkedIn
Преступники представляются рекрутерами известных компаний и отправляют разработчикам заманчивые предложения.
2. Доверительное общение
Хакеры ведут длительную переписку, создавая иллюзию реального процесса найма или совместной разработки.
3. Отправка «тестового задания» или проекта
Жертву убеждают загрузить demo-проект с GitHub, GitLab или Bitbucket.
4. Внедрение малваре в dev-workflow
В проекте размещён вредоносный компонент, который:
- подгружает малварь с JSON-сервиса;
- запускает загрузчик;
- устанавливает бэкдор;
- активирует криптомайнинг или кражу данных.
5. Маскировка под обычный JSON-трафик
Использование JSON-сервисов позволяет:
- обходить firewall-фильтры,
- сливаться с легитимным API-трафиком,
- избегать анализа со стороны IDS/IPS,
- оставаться незаметными в DevOps-средах.
🧠 Почему использование JSON-хранилищ — это опасный и умный ход
Техника, которую использует Lazarus Group, — пример стеганографии в инфраструктуре: вредоносные данные прячутся в обычном формате, который редко вызывает подозрения.
💡 Преимущества такого подхода для злоумышленников:
- JSON-формат привычен для разработчиков.
- Запросы к JSON-сервисам выглядят нормальными и не вызывают тревог.
- Антивирусы реже анализируют динамический JSON-контент.
- Можно часто менять URL без нарушения цепочки атаки.
- Легко обновлять полезную нагрузку прямо в облаке.
Как отмечают исследователи, “малварь, спрятанная в JSON-контейнерах, выглядит как абсолютно легитимный элемент разработки, особенно в CI/CD средах”.
🧩 Технические компоненты атаки: что именно загружает вредонос
🕵️ BeaverTail — инфостилер + загрузчик
Функции:
- кража конфиденциальных файлов,
- извлечение криптокошельков,
- захват данных SSH/GPG,
- загрузка дополнительных модулей.
🐍 InvisibleFerret — Python-бэкдор
Позволяет:
- удалённый доступ,
- выполнение команд,
- установку новых модулей на устройство.
⚙️ TsunamiKit — многофункциональный Python/.NET набор
Может работать:
- как криптомайнер (XMRig),
- как кейлоггер,
- как модуль шпионажа,
- как активатор цепочки заражений.
📉 Кому угрожают эти атаки?
Ключевые мишени:
- backend-разработчики
- DevOps / DevSecOps инженеры
- Python и .NET разработчики
- инженеры, работающие с GitHub/GitLab
- специалисты в Web3 и crypto-стартапах
- разработчики в финансовом секторе
Преступники создают широкую сеть потенциальных жертв, выбирая специалистов, доступ к инфраструктурам которых может представлять интерес.
🔐 Как защититься: рекомендации корпоративным командам
Вот расширенные рекомендации для DevOps, SOC, SecOps и команд разработки.
✔ 1. Блокировать неизвестные JSON-сервисы
Организациям следует:
- отключать доступ к нерегулируемым JSON-хранилищам;
- использовать allow-list политик;
- мониторить обращения к JSON Keeper, JSONsilo, npoint.io.
✔ 2. Проверять сторонние проекты и «тестовые задания»
Особенно, если они пришли:
- через LinkedIn,
- через email без домена компании,
- через GitHub от нового пользователя.
✔ 3. Настроить мониторинг на Base64-обфускацию
Многие IOC хранятся в Base64.
SOC должен автоматически детектировать:
- подозрительные строки,
- дешифровку Base64 в файлах проектов.
✔ 4. Использовать SAST/SCA анализаторы
Они помогают находить:
- скрытые загрузчики,
- вредоносные зависимости,
- подозрительные network-вызовы.
✔ 5. Включить контроль исходящего трафика
Особенно в средах:
- CI/CD,
- dev-container,
- remote developer playgrounds.
✔ 6. Проводить обучение сотрудников
Разработчики — одна из главных целей Lazarus.
Обучение важно как никогда.
🧾 Вывод
Использование JSON-сервисов как инфраструктуры для доставки вредоносных программ — это не просто новая техника маскировки. Это — эволюция атак на цепочку поставки ПО, ориентированная на разработчиков, которые имеют доступ к критически важным системам.
Группа Lazarus остаётся одной из самых активных APT-группировок, и их адаптация под dev-workflow делает атаки:
- скрытыми,
- долгосрочными,
- высокоэффективными,
- труднодетектируемыми.
Компании, которые зависят от разработки ПО, должны внедрять многоуровневую защиту, усиливать мониторинг и пересматривать политику доступа к внешним сервисам.