Gli hacker sostenuti dalla Corea del Nord hanno violato JumpCloud per prendere di mira i clienti di criptovaluta

Gli hacker sostenuti dallo stato nordcoreano hanno violato la società di software aziendale statunitense JumpCloud per prendere di mira i suoi clienti di criptovaluta, hanno detto giovedì i ricercatori di sicurezza.
JumpCloud, una piattaforma di directory che consente alle aziende di autenticare, autorizzare e gestire utenti e dispositivi, ha affermato questa settimana che un attore di stato-nazione era dietro una violazione dei suoi sistemi di giugno che ha costretto l'azienda a reimpostare le chiavi API dei clienti.
Mentre JumpCloud non ha attribuito gli hacker a una nazione in particolare, i ricercatori delle società di sicurezza informatica Crowdstrike e SentinelOne hanno oggi attribuito la violazione agli hacker sostenuti dalla Corea del Nord chiamati Lazarus, un noto gruppo noto per aver preso di mira entità crittografiche come Ronin Network e Ponte Orizzonte dell'Armonia.
CrowdStrike ha collegato l'attacco JumpCloud a un "Labyrinth Chollima", un sottogruppo del famigerato gruppo di hacker Lazarus che era anche collegato ai recenti attacchi alla catena di approvvigionamento rivolti al produttore di telefoni aziendali 3CX.
Adam Meyers, vicepresidente senior per l'intelligence di CrowdStrike, ha dichiarato a Reuters che gli hacker, che la società di sicurezza informatica monitora dal 2009 e descrive come uno degli "avversari più prolifici della RPDC", hanno una storia di prendere di mira individui legati al settore delle criptovalute.
La Corea del Nord ha una lunga storia di utilizzo di operazioni di furto di criptovalute per finanziare il suo programma di armi nucleari autorizzato.
Separatamente, il ricercatore di SentinelOne Tom Hegel ha confermato che gli indicatori di compromissione (IOC) condivisi da JumpCloud sono "collegati a un'ampia varietà di attività che attribuiamo alla RPDC".
Hegel ha dichiarato in un tweet di essere "molto fiducioso" nell'attribuire la violazione alla Corea del Nord e ha affermato che gli hacker potrebbero essere stati anche dietro una recente campagna di ingegneria sociale rivolta ai clienti di GitHub.
La campagna "a basso volume" ha preso di mira gli account personali dei dipendenti delle aziende tecnologiche, ha affermato GitHub in un post sul blog la scorsa settimana, molti dei quali sono collegati ai settori blockchain, criptovaluta o gioco d'azzardo online.
GitHub ha attribuito il targeting a "un gruppo che opera a sostegno degli obiettivi della Corea del Nord", tracciato come TraderTraitor da CISA.
"Sulla base dei dettagli pubblici disponibili al momento della stesura di questo documento, non è chiaro se l'avviso GitHub abbia avuto origine dall'incidente di JumpCloud o se si tratti di sforzi separati dello stesso aggressore", ha affermato Hegel.
Quando è stato chiesto da TechCrunch, JumpCloud ha rifiutato di dire se i risultati dei ricercatori fossero coerenti con i suoi, ma ha affermato che l'incidente ha avuto un impatto su un gruppo "piccolo e specifico" di clienti.
Il software di JumpCloud è utilizzato da oltre 180.000 organizzazioni e l'azienda ha più di 5.000 clienti paganti.
"Dopo aver rilevato l'incidente, abbiamo immediatamente agito in base al nostro piano di risposta agli incidenti per mitigare la minaccia, proteggere la nostra rete e il nostro perimetro, comunicare con i nostri clienti e coinvolgere le forze dell'ordine", ha dichiarato a TechCrunch la portavoce di JumpCloud, Josie Judy.
A maggio, i funzionari statunitensi hanno annunciato nuove sanzioni contro l'esercito della Corea del Nord di lavoratori IT illegali, che sostengono di aver ottenuto in modo fraudolento un impiego in tutto il mondo per finanziare i programmi di armi di distruzione di massa del regime.
Il Dipartimento di Stato degli Stati Uniti offre anche premi fino a $ 10 milioni per informazioni che potrebbero aiutare a interrompere gli hacker nordcoreani.
JumpCloud afferma che gli hacker dello stato-nazione hanno violato i suoi sistemi