Nordkoreanske hackere er blevet afsløret i at indlejre malware i macOS-applikationer udviklet med et sæt open-source-programmer til softwareudvikling, ifølge forskere fra Jamf, der er et firma, der specialiserer sig i software til mobilhåndtering.
Forskningen beskriver ifølge CyberScoop malware, der blev opdaget i slutningen af oktober på VirusTotal, der er en populær online platform til filanalyse. Selvom koden var skadelig, blev den oprindeligt vurderet som harmløs af platformens scannere.
Jamf fandt tre versioner af malwaren: to udviklet med programmeringssprogene Golang og Python, og en tredje bygget med Flutter, der som standard stærkt skjuler koden.
Forskerne bemærkede, at teknikkerne og domænerne, der blev brugt, 'stemmer tæt overens' med nordkoreanske metoder. Nordkorea har ofte finansielle mål for sine operationer. Begge kampagner var rettet mod kryptovaluta-angreb og havde infrastruktur, der lignede den, Lazarus-gruppen har brugt.
Flutter er et programmeringsframework udviklet af Google, der bruges til at bygge applikationer på tværs af iOS, Android, Linux, macOS, Windows og nettet. Frameworket er også effektivt til at skjule skadelig kode, hvilket gør det sværere at analysere.
"Der er intet iboende ondsindet ved denne app-arkitektur, men den giver en effektiv mulighed for at gemme kode væk på grund af designet," påpeger rapporten.
Forskerne fra Jamf understreger, at det stadig er uvist, om malwaren blev brugt aktivt i en kampagne, eller om det blot var en test af en ny angrebsmetode. Malwaren var sofistikeret nok til at omgå Apples sikkerhedsmekanisme, der sikrer, at macOS-applikationer er fri for kendt malware og skadelig kode.
Dog er der ingen klare beviser for, at malwaren, som var indlejret i en klon af det populære videospil 'Minesweeper' taget direkte fra Github, blev brugt i et angreb. Desuden ændrede malwaren en URL-anmodning til et ondsindet domæne, der teoretisk kunne have startet den næste fase af kampagnen. Men domænet returnerede en 404-fejl, da forskerne undersøgte det.
Domænet, som malwaren pegede på, var tidligere blevet brugt i en kampagne, opdaget af cybersikkerhedsfirmaet Elastic, der sigtede mod at inficere blockchain-ingeniører med macOS-specifik malware.
Som yderligere bevis for forbindelsen til Nordkorea indeholdt Go-varianten af malwaren samme filnavn som en anden 'infektionsvektor', der blev forbundet med en operation mod macOS-enheder, opdaget af SentinelOne-forskere.
