La carga útil final (BeaverTail) mostró capacidades vistas anteriormente, incluido «el uso de Axioms como cliente HTTP integrado, enumeración y exfiltración de información del sistema, búsqueda de perfiles de navegador y directorios de extensiones para datos confidenciales, y búsqueda y exfiltración de documentos de Word, archivos PDF, capturas de pantalla, archivos secretos, archivos que contienen variables de entorno y otros archivos confidenciales, como el llavero del usuario que inició sesión».
Los desarrolladores siguen siendo un objetivo de alto valor
Investigadores resaltado que la campaña se dirige específicamente a desarrolladores involucrados en proyectos criptográficos y Web3, utilizando personas que suenan realistas y aplicaciones de demostración (bienes raíces, DeFi, bifurcaciones de juegos) para reducir las sospechas. El cambio de los actores vinculados al Estado desde el alojamiento directo de cargas útiles hasta el abuso de servicios de almacenamiento JSON legítimos sugiere que incluso las plataformas benignas centradas en los desarrolladores son ahora siendo armado para evitar la detección y explotar la confianza en los flujos de trabajo tecnológicos.
Debido a que el ataque combina plataformas legítimas (GitLab/GitHub, JSON Keeper/npoint) con cargas útiles ofuscadas, los defensores deben tratar la procedencia del código como parte de la higiene de seguridad. Los investigadores agregaron que podría ayudar ejecutar código en entornos sandbox completamente aislados, auditar cualquier URL externa o clave en los archivos de configuración antes de ejecutarlo y bloquear solicitudes salientes inusuales a puntos finales de almacenamiento JSON conocidos y a los IOC NVISO enumerados.
