Μέλη της βορειοκορεατικής ομάδας χάκερ Lazarus που παρουσιάζονται ως στρατολόγοι δολώνουν τους προγραμματιστές της Python με δοκιμαστικό έργο κωδικοποίησης για προϊόντα διαχείρισης κωδικών πρόσβασης που περιλαμβάνουν κακόβουλο λογισμικό.
Οι επιθέσεις αποτελούν μέρος της «εκστρατείας VMConnect» που εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2023, όπου οι παράγοντες απειλών στόχευαν προγραμματιστές λογισμικού με κακόβουλα πακέτα Python που ανέβηκαν στο αποθετήριο PyPI.
Σύμφωνα με μια αναφορά από το ReversingLabsπου παρακολουθεί την καμπάνια για πάνω από ένα χρόνο, οι χάκερ της Lazarus φιλοξενούν τα κακόβουλα έργα κωδικοποίησης στο GitHub, όπου τα θύματα βρίσκουν αρχεία README με οδηγίες για το πώς να ολοκληρώσουν τη δοκιμή.
Οι οδηγίες έχουν σκοπό να παρέχουν μια αίσθηση επαγγελματισμού και νομιμότητας στην όλη διαδικασία, καθώς και μια αίσθηση επείγοντος.
Η ReversingLabs διαπίστωσε ότι οι Βορειοκορεάτες υποδύονται μεγάλες τράπεζες των ΗΠΑ όπως η Capital One για να προσελκύσουν υποψηφίους για εργασία, προσφέροντας πιθανότατα ένα δελεαστικό πακέτο απασχόλησης.
Περαιτέρω στοιχεία που ανακτήθηκαν από ένα από τα θύματα υποδηλώνουν ότι ο Lazarus πλησιάζει ενεργά τους στόχους του μέσω του LinkedIn, μια τεκμηριωμένη τακτική για την ομάδα.
Βρείτε το σφάλμα
Οι χάκερ κατευθύνουν τους υποψηφίους να βρουν ένα σφάλμα σε μια εφαρμογή διαχείρισης κωδικών πρόσβασης, να υποβάλουν τη διόρθωση τους και να μοιραστούν ένα στιγμιότυπο οθόνης ως απόδειξη της δουλειάς τους.
Το αρχείο README για το έργο καθοδηγεί το θύμα πρώτα να εκτελέσει την κακόβουλη εφαρμογή διαχείρισης κωδικών πρόσβασης (“PasswordManager.py”) στο σύστημά του και μετά να αρχίσει να αναζητά τα σφάλματα και να τα διορθώνει.
Αυτό το αρχείο ενεργοποιεί την εκτέλεση μιας ασαφής λειτουργικής μονάδας base64 που είναι κρυμμένη στα αρχεία ‘_init_.py’ των βιβλιοθηκών ‘pyperclip’ και ‘pyrebase’.
Η ασαφής συμβολοσειρά είναι ένα πρόγραμμα λήψης κακόβουλου λογισμικού που έρχεται σε επαφή με έναν διακομιστή εντολών και ελέγχου (C2) και περιμένει για εντολές. Η ανάκτηση και η εκτέλεση πρόσθετων ωφέλιμων φορτίων είναι εντός των δυνατοτήτων του.
Για να βεβαιωθείτε ότι οι υποψήφιοι δεν θα ελέγξουν τα αρχεία του έργου για κακόβουλο ή ασαφή κώδικα, το αρχείο README απαιτεί να ολοκληρωθεί γρήγορα η εργασία: πέντε λεπτά για την κατασκευή του έργου, 15 λεπτά για την υλοποίηση της επιδιόρθωσης και 10 λεπτά για την αποστολή το τελικό αποτέλεσμα.
Αυτό υποτίθεται ότι αποδεικνύει την τεχνογνωσία του προγραμματιστή στη συνεργασία με έργα Python και GitHub, αλλά ο στόχος είναι να κάνει το θύμα να παραλείψει τυχόν ελέγχους ασφαλείας που ενδέχεται να αποκαλύψουν τον κακόβουλο κώδικα.
Η ReversingLabs βρήκε στοιχεία ότι η καμπάνια ήταν ακόμα ενεργή στις 31 Ιουλίου και πιστεύει ότι βρίσκεται σε εξέλιξη.
Οι προγραμματιστές λογισμικού που λαμβάνουν προσκλήσεις για αίτηση εργασίας από χρήστες στο LinkedIn ή αλλού θα πρέπει να είναι προσεκτικοί σχετικά με την πιθανότητα εξαπάτησης και να λαμβάνουν υπόψη ότι τα προφίλ που επικοινωνούν μαζί τους μπορεί να είναι πλαστά.
Πριν λάβετε την εργασία, προσπαθήστε να επαληθεύσετε την ταυτότητα του άλλου ατόμου και επιβεβαιώστε ανεξάρτητα με την εταιρεία ότι πράγματι βρίσκεται σε εξέλιξη ένας γύρος πρόσληψης.
Αφιερώστε χρόνο για να σαρώσετε ή να ελέγξετε προσεκτικά τον δεδομένο κώδικα και να τον εκτελέσετε μόνο σε ασφαλή περιβάλλοντα, όπως εικονικές μηχανές ή εφαρμογές sandboxing.
VIA: bleepingcomputer.com