Udviklere målrettet i falske kodningstests fra Lazarus Group
I en verden, hvor grænserne mellem mulighed og fare udviskes, kan selv jobsamtaler blive cyberangrebsvektorer. For nylig afslørede cybersikkerhedseksperter en ny bølge af ondsindet aktivitet rettet mod softwareudviklere, udført af den berygtede nordkoreansk-støttede Lazarus Group . Denne gang bruger de falske kodningstests til at narre udviklere til ubevidst at installere malware. Lad os nedbryde, hvad der sker, og hvordan du kan beskytte dig selv.
Table of Contents
En ny slags cybertrussel: falske kodningsvurderinger
Hvis du er en udvikler på platforme som GitHub, LinkedIn eller endda npm og PyPI, vil du måske være ekstra opmærksom på eventuelle kodningstests eller jobtilbud, der kommer din vej. Lazarus Group, en velkendt cyberkriminalitetsorganisation, er begyndt at bruge falske jobsamtaler til at lokke udviklere til at downloade skadelige Python-pakker. Denne strategi er blevet sporet tilbage til en igangværende kampagne kaldet VMConnect, som begyndte i august 2023.
Sådan fungerer det: En udvikler bliver kontaktet for en "jobmulighed" og bedt om at gennemføre en kodningsudfordring. Alt virker legitimt, men skjult i kodningstesten er malware designet til at infiltrere udviklerens system.
Hvordan de fungerer og den skjulte fare i din kode
Lazarus Group bruger modificerede versioner af legitime Python-pakker som pyperclip og pyrebase til at skjule deres ondsindede hensigter. Denne malware gemmer sig i Python-pakkens filer, specifikt __init__.py filen og den tilsvarende kompilerede Python-fil (PYC). Når udvikleren kører pakken, kontakter malwaren en kommando-og-kontrol-server (C2) for at udføre yderligere kommandoer – uden at brugeren selv ved det.
For at gøre tingene værre, deles disse ondsindede pakker ofte i form af en ZIP-fil, der kræver hurtig handling. For eksempel bad en kodningstest jobsøgende om at rette en Python-kodefejl inden for 15 minutter. Hastværket med at overholde denne deadline kan få udviklere til at springe vigtige sikkerhedstjek over, hvilket gør det nemt for malwaren at aktivere ubemærket.
Reelle mål, store navne, store risici
Et af de mere foruroligende aspekter af denne kampagne er, at Lazarus Group efterligner velrenommerede finansielle institutioner som Capital One og Rookery Capital Limited for at gøre deres fidus mere overbevisende. Efter indledende samtaler på LinkedIn modtager udviklere en ZIP-fil, der indeholder malware forklædt som en kodningstest. For macOS-brugere er denne malware blevet identificeret som COVERTCATCH , som kan downloade endnu mere ondsindet software designet til at blive ved på systemet.
Selvom det er uklart, hvor mange udviklere der hidtil er blevet målrettet mod, bliver metoden stadig mere almindelig. En rapport fra Googles cybersikkerhedsfirma Mandiant fremhævede, hvordan disse angreb ofte starter med uskyldigt udseende chatsamtaler på LinkedIn, efterfulgt af den malware-ladede kodningstest.
En global trussel fra Lazarus-gruppens bredere kampagner
Lazarus Group begrænser sig ikke til softwareudviklere. De er også blevet sat i forbindelse med spear-phishing-angreb rettet mod både Rusland og Sydkorea. Disse angreb, kodenavnet CLOUD#REVERSER, har ført til distribution af malware som CURKON , en Windows-genvejsfil designet til at downloade yderligere malware. De har endda brugt RAT (Remote Access Trojan) værktøjer som AsyncRAT og Lilith RAT til at fjernstyre inficerede systemer.
Hvordan udviklere kan forblive sikre
- Vær skeptisk over for jobtilbud: Især hvis du bliver kontaktet via LinkedIn eller andre sociale medieplatforme, skal du tage dig tid til at verificere legitimiteten af virksomheden og den person, der kontakter dig. Svindlere udgiver sig ofte som rekrutterere fra kendte virksomheder.
- Gennemgå altid koden, før den køres: Uanset hvor presserende en kodningstest kan virke, skal du bruge et øjeblik på at gennemgå kildekoden, før du udfører den. Hvis du modtager en ZIP-fil, skal du scanne den med et anti-malware-værktøj, før du pakker den ud.
- Hold dig informeret om trusler: De teknikker, cyberkriminelle bruger, udvikler sig konstant, så det er afgørende at holde sig orienteret. Følg nyheder om cybersikkerhed for at vide, hvad du skal være opmærksom på.
- Brug sikkerhedsværktøjer: Installer pålidelig anti-malware-software, der kan opdage og blokere ondsindede scripts skjult i Python-pakker eller andre kodningsprojekter.
årvågenhed er nøglen
Lazarus Groups brug af falske kodningsvurderinger til at sprede malware fremhæver, hvordan cyberkriminelle bliver mere kreative i deres angreb. Udviklere, især dem, der er ivrige efter at få deres næste job, er primære mål. Men ved at tage et par ekstra forholdsregler – som at gennemgå kildekoden, verificere rekrutterere og holde dig opdateret om sikkerhedsrisici – kan du beskytte dig selv og dine systemer.
