Los desarrolladores son el blanco de pruebas de codificación falsas del grupo Lazarus
En un mundo en el que la línea entre las oportunidades y los peligros se difumina, incluso las entrevistas de trabajo pueden convertirse en vectores de ciberataques. Recientemente, los expertos en ciberseguridad descubrieron una nueva ola de actividad maliciosa dirigida a los desarrolladores de software, llevada a cabo por el infame Lazarus Group, respaldado por Corea del Norte . Esta vez, están utilizando pruebas de codificación falsas para engañar a los desarrolladores para que instalen malware sin saberlo. Analicemos qué está sucediendo y cómo puede protegerse.
Table of Contents
Un nuevo tipo de amenaza cibernética: evaluaciones de codificación falsas
Si eres desarrollador en plataformas como GitHub, LinkedIn o incluso npm y PyPI, es posible que quieras prestar especial atención a cualquier prueba de codificación u oferta de trabajo que se te presente. El Grupo Lazarus, una conocida organización de delitos cibernéticos, ha comenzado a utilizar entrevistas de trabajo falsas para engañar a los desarrolladores para que descarguen paquetes de Python dañinos. Esta estrategia se remonta a una campaña en curso denominada VMConnect, que comenzó en agosto de 2023.
Así es como funciona: se le ofrece a un desarrollador una "oportunidad laboral" y se le pide que complete un desafío de codificación. Todo parece legítimo, pero dentro de la prueba de codificación se esconde un malware diseñado para infiltrarse en el sistema del desarrollador.
Cómo funcionan y el peligro oculto en tu código
El grupo Lazarus utiliza versiones modificadas de paquetes legítimos de Python, como pyperclip y pyrebase, para ocultar sus intenciones maliciosas. Este malware se esconde en los archivos del paquete de Python, específicamente en el archivo __init__.py
y en el archivo Python compilado correspondiente (PYC). Una vez que el desarrollador ejecuta el paquete, el malware se pone en contacto con un servidor de comando y control (C2) para ejecutar más comandos, sin que el usuario lo sepa.
Para empeorar las cosas, estos paquetes maliciosos suelen compartirse en forma de archivo ZIP que requiere una acción rápida. Por ejemplo, en una prueba de codificación se pidió a los solicitantes de empleo que solucionaran un error en el código Python en 15 minutos. La prisa por cumplir con este plazo puede hacer que los desarrolladores se salten importantes controles de seguridad, lo que facilita que el malware se active sin que se note.
Objetivos reales, grandes nombres, grandes riesgos
Uno de los aspectos más inquietantes de esta campaña es que el Grupo Lazarus se hace pasar por instituciones financieras de confianza como Capital One y Rookery Capital Limited para hacer que su estafa sea más convincente. Después de las conversaciones iniciales en LinkedIn, los desarrolladores reciben un archivo ZIP que contiene malware camuflado en una prueba de codificación. Para los usuarios de macOS, este malware se ha identificado como COVERTCATCH , que puede descargar aún más software malicioso diseñado para persistir en el sistema.
Si bien no está claro cuántos desarrolladores han sido el objetivo hasta ahora, el método se está volviendo cada vez más común. Un informe de la firma de ciberseguridad de Google, Mandiant, destacó cómo estos ataques a menudo comienzan con conversaciones de chat aparentemente inocentes en LinkedIn, seguidas de una prueba de codificación cargada de malware.
Una amenaza global derivada de las campañas más amplias del Grupo Lázaro
El grupo Lazarus no se limita a los desarrolladores de software. También se lo ha vinculado a ataques de phishing dirigidos contra Rusia y Corea del Sur. Estos ataques, cuyo nombre en código es CLOUD#REVERSER, han llevado a la distribución de malware como CURKON , un archivo de acceso directo de Windows diseñado para descargar malware adicional. Incluso han utilizado herramientas RAT (troyanos de acceso remoto) como AsyncRAT y Lilith RAT para controlar sistemas infectados de forma remota.
Cómo pueden mantenerse seguros los desarrolladores
- Sea escéptico con las ofertas de trabajo: especialmente si lo contactan a través de LinkedIn u otras plataformas de redes sociales, tómese el tiempo para verificar la legitimidad de la empresa y de la persona que lo contacta. Los estafadores a menudo se hacen pasar por reclutadores de empresas conocidas.
- Revise siempre el código antes de ejecutarlo: no importa cuán urgente parezca una prueba de codificación, tómese un momento para revisar el código fuente antes de ejecutarla. Si recibe un archivo ZIP, escanéelo con una herramienta antimalware antes de descomprimirlo.
- Manténgase informado sobre las amenazas: las técnicas que utilizan los cibercriminales evolucionan constantemente, por lo que mantenerse informado es fundamental. Siga las noticias sobre ciberseguridad para saber a qué debe prestar atención.
- Utilice herramientas de seguridad: instale un software antimalware confiable que pueda detectar y bloquear scripts maliciosos ocultos en paquetes de Python u otros proyectos de codificación.
La vigilancia es clave
El uso de evaluaciones de codificación falsas por parte de Lazarus Group para difundir malware pone de relieve cómo los cibercriminales se están volviendo más creativos en sus ataques. Los desarrolladores, especialmente aquellos ansiosos por conseguir su próximo trabajo, son los principales objetivos. Pero si toma algunas precauciones adicionales (como revisar el código fuente, verificar a los reclutadores y mantenerse actualizado sobre los riesgos de seguridad), puede protegerse a sí mismo y a sus sistemas.