Entwickler im Visier gefälschter Codierungstests der Lazarus Group
In einer Welt, in der die Grenzen zwischen Chance und Gefahr verschwimmen, können sogar Vorstellungsgespräche zu einem Angriffsziel für Cyberangriffe werden. Vor Kurzem haben Cybersicherheitsexperten eine neue Welle bösartiger Aktivitäten aufgedeckt, die sich gegen Softwareentwickler richteten und von der berüchtigten , von Nordkorea unterstützten Lazarus Group ausgeführt wurden. Dieses Mal verwenden sie gefälschte Codierungstests, um Entwickler dazu zu bringen, unwissentlich Malware zu installieren. Lassen Sie uns aufschlüsseln, was passiert und wie Sie sich schützen können.
Table of Contents
Eine neue Art der Cyber-Bedrohung: Gefälschte Codierungsbewertungen
Wenn Sie Entwickler auf Plattformen wie GitHub, LinkedIn oder sogar npm und PyPI sind, sollten Sie besonders auf alle Codierungstests oder Stellenangebote achten, die Sie erhalten. Die Lazarus Group, eine bekannte Cybercrime-Organisation, hat begonnen, gefälschte Vorstellungsgespräche zu verwenden, um Entwickler zum Herunterladen schädlicher Python-Pakete zu verleiten. Diese Strategie geht auf eine laufende Kampagne namens VMConnect zurück, die im August 2023 begann.
Und so funktioniert es: Ein Entwickler wird wegen eines „Jobangebots“ angesprochen und gebeten, eine Programmieraufgabe zu lösen. Alles scheint legitim, aber im Programmiertest ist Malware versteckt, die darauf ausgelegt ist, das System des Entwicklers zu infiltrieren.
Funktionsweise und die versteckte Gefahr in Ihrem Code
Die Lazarus Group verwendet modifizierte Versionen legitimer Python-Pakete wie pyperclip und pyrebase , um ihre bösartigen Absichten zu verschleiern. Diese Malware versteckt sich in den Dateien des Python-Pakets, insbesondere in der Datei __init__.py
und der entsprechenden kompilierten Python-Datei (PYC). Sobald der Entwickler das Paket ausführt, kontaktiert die Malware einen Command-and-Control-Server (C2), um weitere Befehle auszuführen – ohne dass der Benutzer davon überhaupt etwas weiß.
Um die Sache noch schlimmer zu machen, werden diese bösartigen Pakete oft in Form einer ZIP-Datei weitergegeben, die schnelles Handeln erfordert. Bei einem Programmiertest mussten die Bewerber beispielsweise innerhalb von 15 Minuten einen Fehler im Python-Code beheben. Die Eile, diese Frist einzuhalten, kann dazu führen, dass die Entwickler wichtige Sicherheitsprüfungen überspringen, wodurch die Malware leicht unbemerkt aktiviert werden kann.
Echte Ziele, große Namen, große Risiken
Einer der beunruhigenderen Aspekte dieser Kampagne ist, dass sich die Lazarus Group als seriöse Finanzinstitute wie Capital One und Rookery Capital Limited ausgibt, um ihren Betrug überzeugender zu machen. Nach ersten Gesprächen auf LinkedIn erhalten die Entwickler eine ZIP-Datei mit Malware, die als Codierungstest getarnt ist. Für macOS-Benutzer wurde diese Malware als COVERTCATCH identifiziert, die noch mehr Schadsoftware herunterladen kann, die darauf ausgelegt ist, auf dem System zu verbleiben.
Es ist zwar unklar, wie viele Entwickler bisher ins Visier genommen wurden, aber die Methode wird immer häufiger eingesetzt. Ein Bericht von Googles Cybersicherheitsfirma Mandiant hob hervor, dass diese Angriffe oft mit harmlos aussehenden Chat-Gesprächen auf LinkedIn beginnen, gefolgt von einem mit Malware verseuchten Codierungstest.
Eine globale Bedrohung durch die groß angelegten Kampagnen der Lazarus-Gruppe
Die Lazarus Group beschränkt sich nicht nur auf Softwareentwickler. Sie wird auch mit Spear-Phishing-Angriffen in Verbindung gebracht, die sowohl auf Russland als auch auf Südkorea abzielen. Diese Angriffe mit dem Codenamen CLOUD#REVERSER haben zur Verbreitung von Malware wie CURKON geführt, einer Windows-Verknüpfungsdatei, die zum Herunterladen zusätzlicher Malware entwickelt wurde. Sie haben sogar RAT-Tools (Remote Access Trojan) wie AsyncRAT und Lilith RAT verwendet, um infizierte Systeme fernzusteuern.
So können Entwickler ihre Sicherheit gewährleisten
- Seien Sie bei Stellenangeboten skeptisch: Nehmen Sie sich vor allem dann die Zeit, die Legitimität des Unternehmens und der Person, die Sie kontaktiert, zu überprüfen, wenn Sie über LinkedIn oder andere Social-Media-Plattformen kontaktiert werden. Betrüger geben sich oft als Personalvermittler bekannter Unternehmen aus.
- Überprüfen Sie den Code immer, bevor Sie ihn ausführen: Egal, wie dringend ein Codetest erscheinen mag, nehmen Sie sich einen Moment Zeit, um den Quellcode zu überprüfen, bevor Sie ihn ausführen. Wenn Sie eine ZIP-Datei erhalten, scannen Sie sie vor dem Entpacken mit einem Anti-Malware-Tool.
- Bleiben Sie über Bedrohungen informiert: Die Techniken von Cyberkriminellen entwickeln sich ständig weiter. Daher ist es wichtig, auf dem Laufenden zu bleiben. Verfolgen Sie Neuigkeiten zur Cybersicherheit, um zu wissen, worauf Sie achten müssen.
- Verwenden Sie Sicherheitstools: Installieren Sie vertrauenswürdige Anti-Malware-Software, die in Python-Paketen oder anderen Codierungsprojekten versteckte schädliche Skripts erkennen und blockieren kann.
Wachsamkeit ist der Schlüssel
Die Verwendung gefälschter Code-Bewertungen durch die Lazarus Group zur Verbreitung von Malware zeigt, wie Cyberkriminelle bei ihren Angriffen immer kreativer werden. Entwickler, insbesondere solche, die ihren nächsten Job unbedingt ergattern wollen, sind die Hauptziele. Aber mit ein paar zusätzlichen Vorsichtsmaßnahmen – wie der Überprüfung des Quellcodes, der Überprüfung von Personalvermittlern und der ständigen Überwachung von Sicherheitsrisiken – können Sie sich und Ihre Systeme schützen.