Pojavila se sofisticirana kampanja kompjuterske špijunaže koja pokazuje kako sjevernokorejski akteri sve više iskorištavaju legitimne platforme u oblaku za distribuciju zlonamjernog softvera i uspostavljanje uporne komandne i kontrolne infrastrukture.
Sigurnosni istraživači otkrili su složenu operaciju ciljanih napada (spearphishing) koja eksploatiše sistem privatnih repozitorijuma na platformi GitHub za skladištenje zlonamjernih tereta (malware payloads), podataka žrtava i zapisnika napada, što predstavlja značajnu evoluciju u taktikama koje koriste grupe koje podržavaju države.
Ova kampanja, aktivna od marta 2025. godine, predstavlja promišljen pomak ka korištenju povjerljivih platformi kako bi se izbjegle tradicionalne sigurnosne mjere.
Napadaci su kreirali višestruke GitHub naloge sa ugrađenim (hardcoded) tokenima za lični pristup (Personal Access Tokens – PATs) direktno u svoj zlonamjerni softver, omogućavajući uporan pristup privatnim repozitorijumima koji sadrže infrastrukturu za napade.
Ovi repozitorijumi služe dvostrukoj svrsi: skladištenje kompresovanih zlonamjernih tereta prikrivenih kao legitimni dokumenti, te prikupljanje osjetljivih informacija sa ugroženih sistema putem automatiziranih mehanizama za prijenos.
Enki analitičari su identifikovali zlonamjernu infrastrukturu nakon otkrića PowerShell skripte objavljene na društvenoj mreži X u aprilu 2025. godine.
Početna istraga je pokazala da su napadaci sistematično kreirali odvojene GitHub repozitorijume za individualne mete, pri čemu je svaki sadržavao personalizovane dokumente kao mamac i komponente napada specifične za žrtvu.
Sofisticiranost ovog pristupa demonstrira posvećenost aktera napada visoko ciljanim operacijama, pri čemu svaki repozitorijum sadrži pažljivo kreirane mamce koji imitiraju južnokorejske advokatske firme, finansijske institucije i vladine agencije.
Pripisivanje kampanje sjevernokorejskoj grupi Kimsuky podupire više obavještajnih pokazatelja, uključujući zajedničke elemente infrastrukture i tehničke potpise konzistentne sa prethodnim operacijama.
Napadaci su pokazali izuzetnu svijest o operativnoj sigurnosti, koristeći javne servisne oblake kao što je Dropbox i privatne GitHub repozitorijume za distribuciju svojih XenoRAT varijanti zlonamjernog softvera, dok istovremeno održavaju uporan pristup okruženjima žrtava.
Mehanizam eksploatacije GitHub infrastrukture
Ključna inovacija ove kampanje leži u zloupotrebi legitimne GitHub infrastrukture za stvaranje otpornog sistema distribucije zlonamjernog softvera i eksfiltracije podataka.
Napadaci ugrađuju GitHub tokene za lični pristup sa obimom repozitorijuma direktno u svoj zlonamjerni softver baziran na PowerShell-u, pružajući sveobuhvatan pristup čitanju i pisanju svim povezanim repozitorijumima.
Ovaj pristup transformiše GitHub iz jednostavne usluge za skladištenje datoteka u sofisticiranu komandnu i kontrolnu platformu sposobnu za dinamičku isporuku tereta i prikupljanje podataka žrtava.
Zlonamjerni softver koristi višefazni proces infekcije koji započinje izvršavanjem PowerShell skripti koje sadrže ugrađene GitHub API pozive.
Ove skripte sistematično preuzimaju kompresovane zlonamjerne terete iz privatnih repozitorijuma, modifikuju zaglavlja datoteka kako bi omogućili pravilno dekompresovanje, i izvršavaju konačni teret na način koji ne ostavlja tragove u datotekama.
Tehnička implementacija uključuje prepisivanje prvih sedam bajtova preuzetih datoteka GZIP zaglavljima prije dekompresije, tehniku osmišljenu da izbjegne osnovne mehanizme detekcije potpisima datoteka.
Analiza strukture repozitorijuma otkriva da napadaci održavaju odvojene direktorijume za različite operativne faze, uključujući mape `/log` za informacije o sistemu žrtve i direktorijume `/boot` koji sadrže podatke sa keyloggera.
Automatizovani mehanizam za prijenos kreira jedinstveno imenovane datoteke koje slijede obrazac `[ip]-[currentTime]-XXX-kkk.txt`, omogućavajući napadacima da prate individualne mašine žrtava i nadgledaju status infekcije putem standardnog interfejsa za upravljanje repozitorijumima na GitHub-u.
Ovaj sistematski pristup omogućava skalabilno upravljanje žrtvama, zadržavajući pritom izgled legitimnih aktivnosti razvoja softvera.
Mehanizam upornosti koristi Windows Task Scheduler za izvršavanje komponenti zlonamjernog softvera svakih 30 minuta, pri čemu svaki ciklus izvršavanja preuzima ažurirane skripte sa GitHub repozitorijuma.
Ovaj dizajn omogućava napadacima dinamičko mijenjanje funkcionalnosti svog zlonamjernog softvera nakon infekcije, pretvarajući početne alate za izviđanje u potpunu daljinsku pristupu trojane, u zavisnosti od rastućih operativnih potreba.
