Membrii grupului de hackeri nord-coreeni Lazarus, care se prezintă drept recrutori, atrag dezvoltatorii Python cu un proiect de testare a codului pentru produse de gestionare a parolelor care includ malware.
Atacurile fac parte din campania ‘VMConnect’, detectată pentru prima dată în august 2023, când actorii de amenințare au vizat dezvoltatorii de software cu pachete Python malitioase încărcate pe depozitul PyPI.
Conform unui raport de la ReversingLabs, care a urmărit campania timp de peste un an, hackerii Lazarus găzduiesc proiectele de codificare maligne pe GitHub, unde victimele găsesc fișiere README cu instrucțiuni despre cum să completeze testul.
Instrucțiunile sunt menite să ofere un simț de profesionalism și legitimitate întregului proces, precum și un sentiment de urgență.
ReversingLabs a descoperit că nord-coreenii se impersonalizează drept bănci mari din SUA precum Capital One pentru a atrage candidați la locuri de muncă, oferindu-le probabil un pachet de angajare tentant.
Dovezi suplimentare obținute de la una dintre victime sugerează că Lazarus se apropie activ de țintele lor pe LinkedIn, o tactică documentată pentru grup.
Hackerii îndrumă candidații să găsească o eroare într-o aplicație de gestionare a parolelor, să-și trimită soluția și să împărtășească o captură de ecran ca dovadă a muncii lor.
Fișierul README pentru proiect îndrumă victima să execute mai întâi aplicația malitioasă de gestionare a parolelor (‘PasswordManager.py’) pe sistemul lor și apoi să înceapă să caute erorile și să le corecteze.
Acel fișier declanșează executarea unui modul obfuscat base64 ascuns în fișierele ‘_init_.py’ ale bibliotecilor ‘pyperclip’ și ‘pyrebase’.
Stringul obfuscat este un descărcător de malware care contactează un server de comandă și control (C2) și așteaptă comenzile. Descărcarea și rularea de sarcini suplimentare se încadrează în capacitățile acestuia.
Pentru a se asigura că candidații nu verifică fișierele proiectului pentru coduri malitioase sau obfuscate, fișierul README cere ca sarcina să fie completată rapid: cinci minute pentru construirea proiectului, 15 minute pentru implementarea soluției și 10 minute pentru a trimite rezultatul final înapoi.
Acest lucru ar trebui să dovedească expertiza dezvoltatorului în lucrul cu proiecte Python și GitHub, dar scopul este de a face ca victima să treacă peste orice verificări de securitate care ar putea dezvălui codul malitios.
ReversingLabs a descoperit că campania era încă activă pe 31 iulie și crede că este în desfășurare.
Dezvoltatorii de software care primesc invitații la aplicații de angajare de la utilizatori pe LinkedIn sau în altă parte ar trebui să fie vigilenți cu privire la posibilitatea de înșelăciune și să ia în considerare că profilurile care îi contactează ar putea fi false.
Înainte de a primi sarcina, încercați să verificați identitatea celeilalte persoane și să confirmați independent cu compania că o rundă de recrutare este în desfășurare.
Acordați timp pentru a scana sau a revizui cu atenție codul dat și executați-l doar în medii sigure precum mașini virtuale sau aplicații sandboxing.
Botnetul Quad7 vizează mai multe routere SOHO și VPN, servere media
Malware-ul SpyAgent pentru Android fură frazele de recuperare crypto din imagini
Comentariile GitHub sunt abuzate pentru a impune malware-ul de furt de parole mascate drept soluții
Noul malware Voldemort abuzează Google Sheets pentru a stoca date furate
Falsul Palo Alto GlobalProtect folosit ca momeală pentru a backdoor enterprise-uri
Leave a Reply