Šiaurės Korėjos įsilaužėlių grupės „Lazarus“ nariai, apsimetę verbuotojais, įvilioja „Python“ kūrėjus bandydami koduoti slaptažodžių valdymo produktus, kuriuose yra kenkėjiškų programų.
Šios atakos yra „VMConnect kampanijos“, pirmą kartą aptiktos 2023 m. rugpjūčio mėn., dalis, kai grėsmės veikėjai taikėsi į programinės įrangos kūrėjus su kenkėjiškais Python paketais, įkeltais į PyPI saugyklą.
Remiantis „ReversingLabs“ ataskaita, kuri kampaniją stebėjo daugiau nei metus, „Lazarus“ įsilaužėliai priima kenkėjiškus kodavimo projektus „GitHub“, kur aukos randa README failus su instrukcijomis, kaip užbaigti testą.
Nurodymai yra skirti visam procesui suteikti profesionalumo ir teisėtumo, taip pat skubos jausmą.
„ReversingLabs“ išsiaiškino, kad šiaurės korėjiečiai apsimeta dideliais JAV bankais, tokiais kaip „Capital One“, siekdami pritraukti kandidatus į darbą, greičiausiai pasiūlydami jiems viliojantį užimtumo paketą.
Kiti įrodymai, gauti iš vienos iš aukų, rodo, kad Lazarusas aktyviai siekia savo taikinių per „LinkedIn“, dokumentais pagrįstą grupės taktiką.
Raskite klaidą
Įsilaužėliai nukreipia kandidatus rasti slaptažodžių tvarkyklės programos klaidą, pateikti pataisymą ir pasidalyti ekrano kopija kaip savo darbo įrodymu.
Šaltinis: ReversingLabs
Projekto README failas nurodo aukai pirmiausia savo sistemoje paleisti kenkėjišką slaptažodžių tvarkyklės programą („PasswordManager.py“), tada pradėti ieškoti klaidų ir jas taisyti.
Šaltinis: ReversingLabs
Šis failas suaktyvina „base64“ užmaskuoto modulio, paslėpto „pyperclip“ ir „pyrebase“ bibliotekų „_init_.py“ failuose, vykdymą.
Užtemdyta eilutė yra kenkėjiškų programų atsisiuntimo programa, kuri susisiekia su komandų ir valdymo (C2) serveriu ir laukia komandų. Papildomų naudingųjų krovinių gavimas ir paleidimas yra jo galimybės.
Šaltinis: ReversingLabs
Kad kandidatai netikrins, ar projekto failuose nėra kenkėjiško ar užtemdyto kodo, README failas reikalauja, kad užduotis būtų atlikta greitai: penkios minutės projektui sukurti, 15 minučių pataisyti ir 10 minučių išsiųsti atgal. galutinis rezultatas.
Tai turėtų įrodyti kūrėjo patirtį dirbant su „Python“ projektais ir „GitHub“, tačiau tikslas yra priversti auką praleisti visus saugumo patikrinimus, kurie gali atskleisti kenkėjišką kodą.
Šaltinis: ReversingLabs
„ReversingLabs“ rado įrodymų, kad kampanija vis dar buvo aktyvi liepos 31 d., ir mano, kad ji tęsiasi.
Programinės įrangos kūrėjai, gaunantys „LinkedIn“ ar kitur vartotojų kvietimus dėl darbo, turėtų būti atsargūs dėl apgaulės galimybės ir atsižvelgti į tai, kad su jais susisiekę profiliai gali būti netikri.
Prieš gaudami užduotį, pabandykite patikrinti kito asmens tapatybę ir savarankiškai patvirtinti su įmone, kad įdarbinimo etapas tikrai vyksta.
Skirkite laiko nuskaityti arba atidžiai peržiūrėkite pateiktą kodą ir vykdykite jį tik saugioje aplinkoje, pvz., virtualiose mašinose ar smėlio dėžės programose.
