Des développeurs ciblés par de faux tests de codage du groupe Lazarus

Dans un monde où les frontières entre opportunité et danger sont de plus en plus floues, même les entretiens d'embauche peuvent devenir des vecteurs de cyberattaques. Récemment, des experts en cybersécurité ont découvert une nouvelle vague d'activités malveillantes visant les développeurs de logiciels, menées par le tristement célèbre groupe Lazarus, soutenu par la Corée du Nord . Cette fois, ils utilisent de faux tests de codage pour inciter les développeurs à installer des logiciels malveillants à leur insu. Voyons ce qui se passe et comment vous pouvez vous protéger.

Un nouveau type de cybermenace : les fausses évaluations de codage

Si vous êtes développeur sur des plateformes comme GitHub, LinkedIn ou même npm et PyPI, vous devriez peut-être accorder une attention particulière aux tests de codage ou aux offres d'emploi qui vous sont proposées. Le groupe Lazarus, une organisation de cybercriminalité bien connue, a commencé à utiliser de faux entretiens d'embauche pour inciter les développeurs à télécharger des packages Python nuisibles. Cette stratégie remonte à une campagne en cours baptisée VMConnect, qui a débuté en août 2023.

Voici comment cela fonctionne : un développeur est contacté pour une « opportunité d'emploi » et invité à relever un défi de codage. Tout semble légitime, mais caché dans le test de codage se trouve un logiciel malveillant conçu pour infiltrer le système du développeur.

Comment ils fonctionnent et le danger caché dans votre code

Le groupe Lazarus utilise des versions modifiées de packages Python légitimes comme pyperclip et pyrebase pour dissimuler ses intentions malveillantes. Ce malware se cache dans les fichiers du package Python, en particulier le fichier __init__.py et le fichier Python compilé correspondant (PYC). Une fois que le développeur exécute le package, le malware contacte un serveur de commande et de contrôle (C2) pour exécuter d'autres commandes, sans même que l'utilisateur ne le sache.

Pour couronner le tout, ces packages malveillants sont souvent partagés sous la forme d’un fichier ZIP qui nécessite une action rapide. Par exemple, un test de codage demandait aux demandeurs d’emploi de corriger une faille de code Python dans un délai de 15 minutes. La précipitation à respecter ce délai peut amener les développeurs à ignorer des contrôles de sécurité importants, ce qui permet au malware de s’activer facilement sans se faire remarquer.

De vraies cibles, de grands noms, de gros risques

L’un des aspects les plus inquiétants de cette campagne est que le groupe Lazarus se fait passer pour des institutions financières réputées comme Capital One et Rookery Capital Limited pour rendre leur arnaque plus convaincante. Après des conversations initiales sur LinkedIn, les développeurs reçoivent un fichier ZIP contenant un malware déguisé en test de codage. Pour les utilisateurs de macOS, ce malware a été identifié comme COVERTCATCH , qui peut télécharger encore plus de logiciels malveillants conçus pour persister sur le système.

On ignore encore combien de développeurs ont été ciblés jusqu'à présent, mais cette méthode devient de plus en plus courante. Un rapport de Mandiant, la société de cybersécurité de Google, a montré que ces attaques débutent souvent par des conversations de chat apparemment innocentes sur LinkedIn, suivies d'un test de codage chargé de logiciels malveillants.

Une menace mondiale provenant des campagnes plus vastes du groupe Lazarus

Le groupe Lazarus ne se limite pas aux développeurs de logiciels. Il a également été impliqué dans des attaques de spear-phishing visant la Russie et la Corée du Sud. Ces attaques, dont le nom de code est CLOUD#REVERSER, ont conduit à la diffusion de malwares comme CURKON , un fichier de raccourci Windows conçu pour télécharger des malwares supplémentaires. Ils ont même utilisé des outils RAT (Remote Access Trojan) comme AsyncRAT et Lilith RAT pour contrôler les systèmes infectés à distance.

Comment les développeurs peuvent-ils rester en sécurité ?

  1. Méfiez-vous des offres d'emploi : surtout si vous êtes contacté via LinkedIn ou d'autres plateformes de médias sociaux, prenez le temps de vérifier la légitimité de l'entreprise et de la personne qui vous contacte. Les escrocs se font souvent passer pour des recruteurs d'entreprises connues.
  2. Vérifiez toujours le code avant de l'exécuter : quelle que soit l'urgence d'un test de codage, prenez un moment pour vérifier le code source avant de l'exécuter. Si vous recevez un fichier ZIP, analysez-le avec un outil anti-malware avant de le décompresser.
  3. Restez informé des menaces : les techniques utilisées par les cybercriminels évoluent constamment, il est donc essentiel de rester informé. Suivez l'actualité de la cybersécurité pour savoir à quoi vous devez faire attention.
  4. Utilisez des outils de sécurité : installez un logiciel anti-malware fiable capable de détecter et de bloquer les scripts malveillants cachés dans les packages Python ou d’autres projets de codage.

La vigilance est la clé

L'utilisation par le groupe Lazarus de fausses évaluations de codage pour diffuser des logiciels malveillants montre à quel point les cybercriminels sont de plus en plus créatifs dans leurs attaques. Les développeurs, en particulier ceux qui sont impatients de décrocher leur prochain emploi, sont des cibles de choix. Mais en prenant quelques précautions supplémentaires (comme examiner le code source, vérifier les recruteurs et se tenir au courant des risques de sécurité), vous pouvez vous protéger et protéger vos systèmes.

September 11, 2024
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.