A Lazarus Group hamis kódolási tesztjeiben megcélzott fejlesztők

Egy olyan világban, ahol elmosódnak a határvonalak a lehetőség és a veszély között, még az állásinterjúk is kibertámadások vektorai lehetnek. A közelmúltban a kiberbiztonsági szakértők a szoftverfejlesztők ellen irányuló rosszindulatú tevékenységek új hullámát tárták fel, amelyet a hírhedt észak-koreai támogatású Lazarus Group hajt végre. Ezúttal hamis kódolási tesztekkel próbálják rávenni a fejlesztőket, hogy tudtukon kívül rosszindulatú programokat telepítsenek. Nézzük meg, mi történik, és hogyan védheti meg magát.

A kiberfenyegetés új fajtája: hamis kódolási értékelések

Ha Ön fejlesztő olyan platformokon, mint a GitHub, a LinkedIn, vagy akár az npm és a PyPI, érdemes fokozott figyelmet fordítania az Ön felé érkező kódolási tesztekre vagy állásajánlatokra. A Lazarus Group, egy jól ismert kiberbűnözők szervezete hamis állásinterjúkat kezdett használni, hogy rávegye a fejlesztőket káros Python-csomagok letöltésére. Ez a stratégia egy folyamatban lévő VMConnect kampányra vezethető vissza, amely 2023 augusztusában kezdődött.

Ez így működik: Egy fejlesztőt felkeresnek egy „munkalehetőség” miatt, és felkérik, hogy teljesítsen egy kódolási kihívást. Minden jogosnak tűnik, de a kódolási tesztben a fejlesztő rendszerébe behatoló rosszindulatú programok rejtőznek.

Működésük és a kódod rejtett veszélye

A Lazarus Group törvényes Python-csomagok, például pyperclip és pyrebase módosított változatait használja rosszindulatú szándékaik álcázására. Ez a rosszindulatú program a Python-csomag fájljaiban rejtőzik, különösen a __init__.py fájlban és a megfelelő lefordított Python-fájlban (PYC). Miután a fejlesztő futtatta a csomagot, a rosszindulatú program kapcsolatba lép egy parancs- és vezérlőkiszolgálóval (C2), hogy további parancsokat hajtson végre – anélkül, hogy a felhasználó tudná.

A helyzetet rontja, hogy ezeket a rosszindulatú csomagokat gyakran ZIP-fájl formájában osztják meg, amely gyors intézkedést igényel. Például az egyik kódolási teszt arra kérte az álláskeresőket, hogy 15 percen belül javítsák ki a Python-kód hibáját. A határidő betartása miatt a fejlesztők kihagyhatják a fontos biztonsági ellenőrzéseket, így a kártevő könnyen észrevétlenül aktiválódik.

Valódi célok, nagy nevek, nagy kockázatok

A kampány egyik legzavaróbb aspektusa, hogy a Lazarus Group olyan jó hírű pénzintézeteket ad ki, mint a Capital One és a Rookery Capital Limited, hogy meggyőzőbbé tegye átverésüket. A LinkedIn-en folytatott kezdeti beszélgetések után a fejlesztők egy ZIP-fájlt kapnak, amely kódolási tesztnek álcázott kártevőt tartalmaz. A macOS-felhasználók számára ezt a kártevőt COVERTCATCH néven azonosították, amely még több rosszindulatú szoftvert tud letölteni, amelyet úgy terveztek, hogy megmaradjon a rendszeren.

Bár nem világos, hogy eddig hány fejlesztőt céloztak meg, a módszer egyre elterjedtebb. A Google Mandiant kiberbiztonsági cégének jelentése rávilágított, hogy ezek a támadások gyakran ártatlannak tűnő csevegésekkel kezdődnek a LinkedInen, majd ezt követi a rosszindulatú programokkal teli kódolási teszt.

Globális fenyegetés a Lazarus Csoport szélesebb körű kampányaiból

A Lazarus Group nem korlátozza magát a szoftverfejlesztőkre. Az Oroszországot és Dél-Koreát is célzó lándzsás adathalász támadásokkal is összefüggésbe hozhatóak. Ezek a CLOUD#REVERSER kódnevű támadások olyan rosszindulatú programok terjesztéséhez vezettek, mint a CURKON , amely egy Windows parancsikonfájl, amelyet további rosszindulatú programok letöltésére terveztek. Még RAT (Remote Access Trojan) eszközöket is használtak, mint például az AsyncRAT és a Lilith RAT a fertőzött rendszerek távoli irányítására.

Hogyan maradhatnak biztonságban a fejlesztők

  1. Legyen szkeptikus az állásajánlatokkal kapcsolatban: Különösen, ha a LinkedInen vagy más közösségi média platformokon keresztül keresik meg, szánjon időt a cég és az Önnel kapcsolatba lépő személy legitimitásának ellenőrzésére. A csalók gyakran jól ismert cégek toborzóinak adják ki magukat.
  2. Mindig nézze át a kódot futás előtt: Bármilyen sürgősnek is tűnik egy kódolási teszt, szánjon néhány percet a forráskód áttekintésére, mielőtt végrehajtaná. Ha ZIP-fájlt kap, a kicsomagolás előtt ellenőrizze azt egy kártevő-elhárító eszközzel.
  3. Legyen tájékozott a fenyegetésekről: A kiberbűnözők által használt technikák folyamatosan fejlődnek, ezért rendkívül fontos a tájékozottság. Kövesse a kiberbiztonsági híreket, hogy megtudja, mire kell figyelnie.
  4. Biztonsági eszközök használata: Telepítsen megbízható kártevőirtó szoftvert, amely képes észlelni és blokkolni a Python-csomagokban vagy más kódolási projektekben rejtett rosszindulatú szkripteket.

Az éberség kulcsfontosságú

Az, hogy a Lazarus Group hamis kódolási értékeléseket használ a rosszindulatú programok terjesztésére, rávilágít arra, hogy a kiberbűnözők egyre kreatívabbak támadásaik során. A fejlesztők, különösen azok, akik alig várják, hogy megkapják a következő állásukat, elsődleges célpontok. De néhány további óvintézkedés megtételével – például a forráskód áttekintésével, a toborzók ellenőrzésével és a biztonsági kockázatokkal kapcsolatos naprakész információkkal – megvédheti magát és rendszereit.

September 11, 2024
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.