A carga útil final (BeaverTail) mostrou recursos vistos anteriormente, incluindo “uso de Axioms como cliente HTTP incorporado, enumeração e exfiltração de informações do sistema, pesquisa de perfis de navegador e diretórios de extensão em busca de dados confidenciais e pesquisa e exfiltração de documentos do Word, arquivos PDF, capturas de tela, arquivos secretos, arquivos contendo variáveis de ambiente e outros arquivos confidenciais, como as chaves do usuário logado”.
Os desenvolvedores continuam sendo um alvo de alto valor
Os pesquisadores destacaram que a campanha visa especificamente desenvolvedores envolvidos em projetos de criptografia e Web3, usando personas e aplicativos de demonstração que parecem realistas (imóveis, DeFi, forks de jogos) para diminuir as suspeitas. A mudança dos atores ligados ao estado, da hospedagem direta de carga útil para o abuso de serviços legítimos de armazenamento JSON, sugere que mesmo plataformas benignas centradas no desenvolvedor estão agora sendo transformadas em armas para contornar a detecção e explorar a confiança nos fluxos de trabalho tecnológicos.
Como o ataque combina plataformas legítimas (GitLab/GitHub, JSON Keeper/npoint) com cargas ofuscadas, os defensores devem tratar a origem do código como parte da higiene da segurança. Executar código em sandboxes totalmente isolados, auditar quaisquer URLs externos ou chaves em arquivos de configuração antes da execução e bloquear solicitações de saída incomuns para endpoints de armazenamento JSON conhecidos e IOCs listados no NVISO pode ajudar, acrescentaram os pesquisadores.
