A Lazarus Group hamis kódolási tesztjeiben megcélzott fejlesztők
Egy olyan világban, ahol elmosódnak a határvonalak a lehetőség és a veszély között, még az állásinterjúk is kibertámadások vektorai lehetnek. A közelmúltban a kiberbiztonsági szakértők a szoftverfejlesztők ellen irányuló rosszindulatú tevékenységek új hullámát tárták fel, amelyet a hírhedt észak-koreai támogatású Lazarus Group hajt végre. Ezúttal hamis kódolási tesztekkel próbálják rávenni a fejlesztőket, hogy tudtukon kívül rosszindulatú programokat telepítsenek. Nézzük meg, mi történik, és hogyan védheti meg magát.
Table of Contents
A kiberfenyegetés új fajtája: hamis kódolási értékelések
Ha Ön fejlesztő olyan platformokon, mint a GitHub, a LinkedIn, vagy akár az npm és a PyPI, érdemes fokozott figyelmet fordítania az Ön felé érkező kódolási tesztekre vagy állásajánlatokra. A Lazarus Group, egy jól ismert kiberbűnözők szervezete hamis állásinterjúkat kezdett használni, hogy rávegye a fejlesztőket káros Python-csomagok letöltésére. Ez a stratégia egy folyamatban lévő VMConnect kampányra vezethető vissza, amely 2023 augusztusában kezdődött.
Ez így működik: Egy fejlesztőt felkeresnek egy „munkalehetőség” miatt, és felkérik, hogy teljesítsen egy kódolási kihívást. Minden jogosnak tűnik, de a kódolási tesztben a fejlesztő rendszerébe behatoló rosszindulatú programok rejtőznek.
Működésük és a kódod rejtett veszélye
A Lazarus Group törvényes Python-csomagok, például pyperclip és pyrebase módosított változatait használja rosszindulatú szándékaik álcázására. Ez a rosszindulatú program a Python-csomag fájljaiban rejtőzik, különösen a __init__.py
fájlban és a megfelelő lefordított Python-fájlban (PYC). Miután a fejlesztő futtatta a csomagot, a rosszindulatú program kapcsolatba lép egy parancs- és vezérlőkiszolgálóval (C2), hogy további parancsokat hajtson végre – anélkül, hogy a felhasználó tudná.
A helyzetet rontja, hogy ezeket a rosszindulatú csomagokat gyakran ZIP-fájl formájában osztják meg, amely gyors intézkedést igényel. Például az egyik kódolási teszt arra kérte az álláskeresőket, hogy 15 percen belül javítsák ki a Python-kód hibáját. A határidő betartása miatt a fejlesztők kihagyhatják a fontos biztonsági ellenőrzéseket, így a kártevő könnyen észrevétlenül aktiválódik.
Valódi célok, nagy nevek, nagy kockázatok
A kampány egyik legzavaróbb aspektusa, hogy a Lazarus Group olyan jó hírű pénzintézeteket ad ki, mint a Capital One és a Rookery Capital Limited, hogy meggyőzőbbé tegye átverésüket. A LinkedIn-en folytatott kezdeti beszélgetések után a fejlesztők egy ZIP-fájlt kapnak, amely kódolási tesztnek álcázott kártevőt tartalmaz. A macOS-felhasználók számára ezt a kártevőt COVERTCATCH néven azonosították, amely még több rosszindulatú szoftvert tud letölteni, amelyet úgy terveztek, hogy megmaradjon a rendszeren.
Bár nem világos, hogy eddig hány fejlesztőt céloztak meg, a módszer egyre elterjedtebb. A Google Mandiant kiberbiztonsági cégének jelentése rávilágított, hogy ezek a támadások gyakran ártatlannak tűnő csevegésekkel kezdődnek a LinkedInen, majd ezt követi a rosszindulatú programokkal teli kódolási teszt.
Globális fenyegetés a Lazarus Csoport szélesebb körű kampányaiból
A Lazarus Group nem korlátozza magát a szoftverfejlesztőkre. Az Oroszországot és Dél-Koreát is célzó lándzsás adathalász támadásokkal is összefüggésbe hozhatóak. Ezek a CLOUD#REVERSER kódnevű támadások olyan rosszindulatú programok terjesztéséhez vezettek, mint a CURKON , amely egy Windows parancsikonfájl, amelyet további rosszindulatú programok letöltésére terveztek. Még RAT (Remote Access Trojan) eszközöket is használtak, mint például az AsyncRAT és a Lilith RAT a fertőzött rendszerek távoli irányítására.
Hogyan maradhatnak biztonságban a fejlesztők
- Legyen szkeptikus az állásajánlatokkal kapcsolatban: Különösen, ha a LinkedInen vagy más közösségi média platformokon keresztül keresik meg, szánjon időt a cég és az Önnel kapcsolatba lépő személy legitimitásának ellenőrzésére. A csalók gyakran jól ismert cégek toborzóinak adják ki magukat.
- Mindig nézze át a kódot futás előtt: Bármilyen sürgősnek is tűnik egy kódolási teszt, szánjon néhány percet a forráskód áttekintésére, mielőtt végrehajtaná. Ha ZIP-fájlt kap, a kicsomagolás előtt ellenőrizze azt egy kártevő-elhárító eszközzel.
- Legyen tájékozott a fenyegetésekről: A kiberbűnözők által használt technikák folyamatosan fejlődnek, ezért rendkívül fontos a tájékozottság. Kövesse a kiberbiztonsági híreket, hogy megtudja, mire kell figyelnie.
- Biztonsági eszközök használata: Telepítsen megbízható kártevőirtó szoftvert, amely képes észlelni és blokkolni a Python-csomagokban vagy más kódolási projektekben rejtett rosszindulatú szkripteket.
Az éberség kulcsfontosságú
Az, hogy a Lazarus Group hamis kódolási értékeléseket használ a rosszindulatú programok terjesztésére, rávilágít arra, hogy a kiberbűnözők egyre kreatívabbak támadásaik során. A fejlesztők, különösen azok, akik alig várják, hogy megkapják a következő állásukat, elsődleges célpontok. De néhány további óvintézkedés megtételével – például a forráskód áttekintésével, a toborzók ellenőrzésével és a biztonsági kockázatokkal kapcsolatos naprakész információkkal – megvédheti magát és rendszereit.