Elég durva kibertámadási módszerre derült fény: a támadók hamis programozói állásajánlatokkal, GitHub-repókkal és ártatlannak tűnő tesztfeladatokkal próbálják rávenni a fejlesztőket arra, hogy saját maguk futtassák le a gépükön a kártevőt. A TechSpot beszámolója szerint a művelet középpontjában egy Omnistealer névre keresztelt infostealer áll, amely nem egyszerűen pár jelszót szed le, hanem gyakorlatilag mindent visz, amit csak talál. A trükk lényege első ránézésre ijesztően hétköznapi. A célpont kap egy LinkedIn-megkeresést vagy egy freelance lehetőséget, jön mellé egy GitHub-link, egy kisebb fejlesztői feladat, esetleg hibajavítás, és a kérés, hogy futtassa le a mellékelt kódot. Ez pont az a rutin, amivel rengeteg fejlesztő napi szinten találkozik, ezért működik ilyen jól. Csakhogy a látszólag ártalmatlan kód valójában elindít egy többlépcsős fertőzési láncot.
Az Omnistealer egyik legijesztőbb húzása, hogy részben nyilvános blokkláncokat használ a terjesztéshez és az elrejtéshez. A kezdeti kód a leírás szerint a TRON vagy az Aptos hálózatán keres adatokat, onnan szerez mutatókat a Binance Smart Chain felé, majd végül onnan húzza le a tényleges kártékony payloadot. Ez azért különösen kellemetlen, mert így a támadás egy része olyan infrastruktúrára támaszkodik, amit nem lehet egyszerűen lekapcsolni vagy gyorsan eltüntetni. Amikor a végső payload lefut, onnantól már tényleg csúnya a helyzet. A jelentések szerint a kártevő több mint 60 kriptotárca-kiegészítőt tud célba venni, köztük olyan ismert neveket, mint a MetaMask vagy a Coinbase Wallet. Emellett több mint 10 jelszókezelőt, több mint 10 böngészőt és felhős szolgáltatásokat, például a Google Drive-ot is célba veszi. Magyarul: egyetlen fertőzésből simán lehet egyszerre céges hozzáférésvesztés, privát jelszólopás, dokumentumszivárgás és kriptotárca-nullázás.
A történet attól lesz még veszélyesebb, hogy a kutatók szerint eddig nagyjából 300 ezer ellopott hitelesítő adatot kötöttek ehhez az akcióhoz, és ez valószínűleg csak a jéghegy csúcsa. A megszerzett hozzáférések között állítólag kibervédelmi cégek, védelmi ipari szereplők és kormányzati szervek adatai is vannak, vagyis ez már rég nem csak pár gyanútlan freelancer megkopasztásáról szól. A támadók ráadásul két irányból is játszanak. Az egyik forgatókönyvben toborzónak vagy közvetítőnek adják ki magukat, és "felvesznek" fejlesztőket, gyakran dél-ázsiai régiókból, majd tesztfeladatot küldenek nekik. A másik verzióban ők jelentkeznek fejlesztőként valós projektekre, aztán fertőzött pull requesteket tolnak be GitHubon. Vagyis nem csak a munka kereső oldal van veszélyben, hanem a normál kollaborációs fejlesztési workflow is.
A célpontválasztás sem véletlen. A beszámolók szerint különösen sok dél-ázsiai fejlesztőt céloznak, ami logikus, ha azt nézzük, hogy ott hatalmas a fejlesztői bázis, erős a GitHub-jelenlét, és a kriptós ökoszisztéma is nagyon aktív. Egy jól hangzó külsős meló vagy gyors fizetős tesztfeladat sokkal könnyebben csúszik át a gyanús szűrőn, ha valaki eleve ilyen munkákból él. A háttérben pedig megint felbukkan az a név, ami az utóbbi években szinte minden komoly kriptós vagy célzott támadásnál előkerül: Észak-Korea. A jelentések szerint egyes IP-címek, tárcacímek és működési minták a Lazarus Group és a hozzá köthető műveletek irányába mutatnak, bár a szakértők nem mindenben egységesek. Van, aki inkább a Contagious Interview néven ismert klaszterrel rokonítja a social engineering részt. Akárhogy is, a kép alapján nem unatkozó script kiddie-kről van szó, hanem szervezett, profi szereplőkről.
