Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
GitHub sotto attacco nordcoreano: phishing LNK e PowerShell trasformano i repository in C2 invisibili
Una recente campagna di attacchi informatici attribuita a gruppi legati alla Corea del Nord sta prendendo di mira organizzazioni in Corea del Sud con una catena multi stage che sfrutta GitHub come infrastruttura di command and control. Questa scelta permette agli aggressori di confondersi nel traffico legittimo e di sfruttare la fiducia associata a una piattaforma molto usata dagli sviluppatori, riducendo le probabilita di rilevamento.
Punto di ingresso e catena di infezione
Il punto di ingresso piu comune e il phishing via email, che distribuisce file LNK di Windows. Queste scorciatoie sono offuscate e, una volta eseguite, avviano il download di due elementi principali: un PDF esca che viene mostrato alla vittima e uno script PowerShell malevolo che lavora in background. Il PDF ha lo scopo di distrarre e rendere credibile l apertura del file, mentre PowerShell abilita le fasi successive dell infezione.
Evasione, anti-analisi e persistenza
Lo script PowerShell include controlli di evasione e anti analisi. In particolare verifica la presenza di processi associati a macchine virtuali, debugger e strumenti forensi. Se rileva un ambiente sospetto, termina immediatamente per evitare analisi e sandboxing. Se invece prosegue, estrae un VBScript e imposta la persistenza tramite operazioni pianificate di Windows.
In pratica crea una scheduled task che rilancia il payload PowerShell ogni 30 minuti in una finestra nascosta e assicura l esecuzione automatica dopo ogni riavvio del sistema, mantenendo il controllo nel tempo.
Profiling, esfiltrazione e C2 su GitHub
Dopo la compromissione, il malware effettua il profiling dell host, salva i risultati in un file di log e li esfiltra verso un repository GitHub usando un token di accesso incorporato. Successivamente legge file specifici nello stesso repository per recuperare moduli aggiuntivi o istruzioni, trasformando GitHub in un canale C2 flessibile per comandi e aggiornamenti.
La strategia punta anche a ridurre l uso di eseguibili tradizionali, privilegiando strumenti nativi di Windows e tecniche note come LolBins per deployment, evasione e persistenza.
Varianti osservate e canali alternativi
Sono state osservate varianti simili che, sempre partendo da LNK e PowerShell, utilizzano cartelle nascoste per lo staging e canali C2 alternativi come Dropbox, fino a distribuire backdoor in Python capaci di eseguire comandi, gestire file e lanciare script e binari.