Προγραμματιστές που στοχεύουν σε δοκιμές ψευδούς κωδικοποίησης από την ομάδα Lazarus
Σε έναν κόσμο όπου τα όρια μεταξύ ευκαιρίας και κινδύνου θολώνουν, ακόμη και οι συνεντεύξεις για δουλειά μπορούν να γίνουν φορείς κυβερνοεπιθέσεων. Πρόσφατα, ειδικοί στον τομέα της κυβερνοασφάλειας αποκάλυψαν ένα νέο κύμα κακόβουλης δραστηριότητας που στοχεύει σε προγραμματιστές λογισμικού, που πραγματοποιήθηκε από το διαβόητο Lazarus Group που υποστηρίζεται από τη Βόρεια Κορέα . Αυτή τη φορά, χρησιμοποιούν ψεύτικα τεστ κωδικοποίησης για να ξεγελάσουν τους προγραμματιστές να εγκαταστήσουν εν αγνοία τους κακόβουλο λογισμικό. Ας αναλύσουμε τι συμβαίνει και πώς μπορείτε να προστατεύσετε τον εαυτό σας.
Table of Contents
Ένα νέο είδος κυβερνοαπειλής: Ψεύτικες αξιολογήσεις κωδικοποίησης
Εάν είστε προγραμματιστής σε πλατφόρμες όπως το GitHub, το LinkedIn ή ακόμα και το npm και το PyPI, ίσως θέλετε να δώσετε ιδιαίτερη προσοχή σε τυχόν δοκιμές κωδικοποίησης ή προσφορές εργασίας που έρχονται στο δρόμο σας. Η Lazarus Group, μια γνωστή οργάνωση για το έγκλημα στον κυβερνοχώρο, έχει αρχίσει να χρησιμοποιεί ψεύτικες συνεντεύξεις εργασίας για να δελεάσει τους προγραμματιστές να κατεβάσουν επιβλαβή πακέτα Python. Αυτή η στρατηγική έχει εντοπιστεί σε μια συνεχιζόμενη καμπάνια με το όνομα VMConnect, η οποία ξεκίνησε τον Αύγουστο του 2023.
Δείτε πώς λειτουργεί: Ένας προγραμματιστής προσεγγίζεται για μια "ευκαιρία εργασίας" και του ζητείται να ολοκληρώσει μια πρόκληση κωδικοποίησης. Όλα φαίνονται νόμιμα, αλλά κρυμμένο στη δοκιμή κωδικοποίησης είναι κακόβουλο λογισμικό που έχει σχεδιαστεί για να διεισδύσει στο σύστημα του προγραμματιστή.
Πώς λειτουργούν και ο κρυμμένος κίνδυνος στον Κώδικά σας
Η Ομάδα Lazarus χρησιμοποιεί τροποποιημένες εκδόσεις των νόμιμων πακέτων Python όπως το pyperclip και το pyrebase για να συγκαλύψει την κακόβουλη πρόθεσή του. Αυτό το κακόβουλο λογισμικό κρύβεται στα αρχεία του πακέτου Python, συγκεκριμένα στο αρχείο __init__.py
, και στο αντίστοιχο μεταγλωττισμένο αρχείο Python (PYC). Μόλις ο προγραμματιστής εκτελέσει το πακέτο, το κακόβουλο λογισμικό έρχεται σε επαφή με έναν διακομιστή εντολών και ελέγχου (C2) για να εκτελέσει περαιτέρω εντολές — χωρίς καν να το γνωρίζει ο χρήστης.
Για να γίνουν τα πράγματα χειρότερα, αυτά τα κακόβουλα πακέτα κοινοποιούνται συχνά με τη μορφή αρχείου ZIP που απαιτεί γρήγορη δράση. Για παράδειγμα, ένα τεστ κωδικοποίησης ζήτησε από όσους αναζητούσαν εργασία να διορθώσουν ένα ελάττωμα κώδικα Python μέσα σε 15 λεπτά. Η βιασύνη για την τήρηση αυτής της προθεσμίας μπορεί να αναγκάσει τους προγραμματιστές να παρακάμψουν σημαντικούς ελέγχους ασφαλείας, καθιστώντας εύκολη την ενεργοποίηση του κακόβουλου λογισμικού απαρατήρητη.
Πραγματικοί στόχοι, μεγάλα ονόματα, μεγάλοι κίνδυνοι
Μια από τις πιο ανησυχητικές πτυχές αυτής της καμπάνιας είναι ότι ο Όμιλος Lazarus υποδύεται αξιόπιστα χρηματοπιστωτικά ιδρύματα όπως η Capital One και η Rookery Capital Limited για να κάνει την απάτη τους πιο πειστική. Μετά τις αρχικές συνομιλίες στο LinkedIn, οι προγραμματιστές λαμβάνουν ένα αρχείο ZIP που περιέχει κακόβουλο λογισμικό μεταμφιεσμένο ως δοκιμή κωδικοποίησης. Για χρήστες macOS, αυτό το κακόβουλο λογισμικό έχει αναγνωριστεί ως COVERTCATCH , το οποίο μπορεί να κατεβάσει ακόμη πιο κακόβουλο λογισμικό που έχει σχεδιαστεί για να παραμένει στο σύστημα.
Αν και δεν είναι σαφές πόσοι προγραμματιστές έχουν στοχοποιηθεί μέχρι στιγμής, η μέθοδος γίνεται ολοένα και πιο κοινή. Μια αναφορά από την εταιρεία κυβερνοασφάλειας της Google Mandiant τόνισε πώς αυτές οι επιθέσεις συχνά ξεκινούν με αθώες συνομιλίες συνομιλίας στο LinkedIn, ακολουθούμενες από τη δοκιμή κωδικοποίησης με κακόβουλο λογισμικό.
Μια παγκόσμια απειλή από τις ευρύτερες εκστρατείες του Ομίλου Lazarus
Ο Όμιλος Lazarus δεν περιορίζεται στους προγραμματιστές λογισμικού. Έχουν επίσης συνδεθεί με επιθέσεις spear-phishing με στόχο τόσο τη Ρωσία όσο και τη Νότια Κορέα. Αυτές οι επιθέσεις, με την κωδική ονομασία CLOUD#REVERSER, οδήγησαν στη διανομή κακόβουλου λογισμικού όπως το CURKON , ένα αρχείο συντόμευσης των Windows που έχει σχεδιαστεί για τη λήψη επιπλέον κακόβουλου λογισμικού. Έχουν χρησιμοποιήσει ακόμη και εργαλεία RAT (Remote Access Trojan), όπως το AsyncRAT και το Lilith RAT για τον απομακρυσμένο έλεγχο των μολυσμένων συστημάτων.
Πώς οι προγραμματιστές μπορούν να παραμείνουν ασφαλείς
- Να είστε δύσπιστοι με τις προσφορές εργασίας: Ειδικά αν σας προσεγγίζουν μέσω του LinkedIn ή άλλων πλατφορμών μέσων κοινωνικής δικτύωσης, αφιερώστε χρόνο για να επαληθεύσετε τη νομιμότητα της εταιρείας και του ατόμου που επικοινωνεί μαζί σας. Οι απατεώνες παρουσιάζονται συχνά ως στρατολόγοι από γνωστές εταιρείες.
- Να ελέγχετε πάντα τον κώδικα πριν την εκτέλεση: Ανεξάρτητα από το πόσο επείγον μπορεί να φαίνεται μια δοκιμή κωδικοποίησης, αφιερώστε λίγο χρόνο για να ελέγξετε τον πηγαίο κώδικα πριν την εκτελέσετε. Εάν λάβετε ένα αρχείο ZIP, σαρώστε το με ένα εργαλείο προστασίας από κακόβουλο λογισμικό πριν το αποσυμπιέσετε.
- Μείνετε ενημερωμένοι για τις απειλές: Οι τεχνικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου εξελίσσονται συνεχώς, επομένως η ενημέρωση είναι ζωτικής σημασίας. Ακολουθήστε τα νέα για την ασφάλεια στον κυβερνοχώρο για να μάθετε τι πρέπει να προσέξετε.
- Χρήση εργαλείων ασφαλείας: Εγκαταστήστε αξιόπιστο λογισμικό προστασίας από κακόβουλο λογισμικό που μπορεί να εντοπίσει και να αποκλείσει κακόβουλα σενάρια που είναι κρυμμένα σε πακέτα Python ή άλλα έργα κωδικοποίησης.
Η επαγρύπνηση είναι το κλειδί
Η χρήση πλαστών αξιολογήσεων κωδικοποίησης από την ομάδα Lazarus για τη διάδοση κακόβουλου λογισμικού υπογραμμίζει τον τρόπο με τον οποίο οι εγκληματίες του κυβερνοχώρου γίνονται πιο δημιουργικοί στις επιθέσεις τους. Οι προγραμματιστές, ειδικά εκείνοι που επιθυμούν να αποκτήσουν την επόμενη δουλειά τους, είναι πρωταρχικοί στόχοι. Ωστόσο, παίρνοντας μερικές επιπλέον προφυλάξεις - όπως η αναθεώρηση του πηγαίου κώδικα, η επαλήθευση των προσλήψεων και η ενημέρωση σχετικά με τους κινδύνους ασφαλείας - μπορείτε να προστατεύσετε τον εαυτό σας και τα συστήματά σας.