Компания Jamf, разработчик ПО для управления мобильными устройствами, обнаружила новую хакерскую активность. Северокорейские злоумышленники внедряли вредоносное ПО в приложения macOS, созданные с использованием набора инструментов с открытым исходным кодом.
Вредоносный код был найден в конце октября на платформе VirusTotal – популярном онлайн-инструменте для анализа файлов. Примечательно, что несмотря на злонамеренный характер кода, система сканирования определила образцы как безопасные.
Исследователи Jamf выявили три версии вредоносного ПО. Две написаны на языках программирования Golang и Python, третья – на Flutter, фреймворке, который по умолчанию затрудняет анализ кода. По данным исследователей, техники и домены, связанные с вредоносным ПО, имеют характерные признаки северокорейских хакерских атак. Северокорейские кибероперации обычно мотивированы финансовой выгодой. Обнаруженные кампании были направлены на проникновение в криптовалютный сектор и использовали инфраструктуру, схожую с той, что применяет северокорейская группировка Lazarus.
Flutter – это фреймворк с открытым исходным кодом от Google для создания приложений под iOS, Android, Linux, macOS, Windows и веб. Архитектура Flutter существенно усложняет обратный анализ кода. По мнению специалистов Jamf, такая особенность не является вредоносной, но упрощает маскировку злонамеренного кода.
Пока не установлено, использовалось ли вредоносное ПО в реальных атаках или для тестирования новых методов. При этом код оказался достаточно сложным, чтобы обойти систему безопасности Apple, проверяющую приложения macOS на наличие вредоносного ПО.
Специалисты обнаружили вредоносный код в клоне популярной игры “Сапер”, скопированном из репозитория Github. При запуске программа отправляла запрос на вредоносный домен, который должен был активировать следующую фазу атаки. Однако к моменту обнаружения домен уже не функционировал, возвращая ошибку 404.
Ранее компания Elastic сообщала об использовании того же домена в атаках на macOS-устройства специалистов по блокчейну. Связь с Северной Кореей подтверждает и то, что в Go-версии вредоносного ПО найдено название файла, идентичное обнаруженному исследователями SentinelOne в другой операции против macOS.