Sviluppatori presi di mira nei falsi test di codifica del gruppo Lazarus
In un mondo in cui i confini tra opportunità e pericolo si confondono, persino i colloqui di lavoro possono diventare vettori di attacchi informatici. Di recente, gli esperti di sicurezza informatica hanno scoperto una nuova ondata di attività dannose mirate agli sviluppatori di software, portate avanti dal famigerato Lazarus Group sostenuto dalla Corea del Nord . Questa volta, stanno usando falsi test di codifica per indurre gli sviluppatori a installare malware senza saperlo. Analizziamo cosa sta succedendo e come puoi proteggerti.
Table of Contents
Un nuovo tipo di minaccia informatica: false valutazioni di codifica
Se sei uno sviluppatore su piattaforme come GitHub, LinkedIn o anche npm e PyPI, potresti voler prestare particolare attenzione a qualsiasi test di codifica o offerta di lavoro che ti arriva. Il Lazarus Group, una nota organizzazione di criminalità informatica, ha iniziato a utilizzare falsi colloqui di lavoro per indurre gli sviluppatori a scaricare pacchetti Python dannosi. Questa strategia è stata fatta risalire a una campagna in corso denominata VMConnect, iniziata nell'agosto 2023.
Ecco come funziona: uno sviluppatore viene contattato per una "opportunità di lavoro" e gli viene chiesto di completare una sfida di codifica. Tutto sembra legittimo, ma nascosto nel test di codifica c'è un malware progettato per infiltrarsi nel sistema dello sviluppatore.
Come funzionano e il pericolo nascosto nel tuo codice
Il Lazarus Group usa versioni modificate di pacchetti Python legittimi come pyperclip e pyrebase per mascherare il loro intento malevolo. Questo malware si nasconde nei file del pacchetto Python, in particolare nel file __init__.py
e nel corrispondente file Python compilato (PYC). Una volta che lo sviluppatore esegue il pacchetto, il malware contatta un server di comando e controllo (C2) per eseguire ulteriori comandi, senza che l'utente lo sappia.
A peggiorare le cose, questi pacchetti dannosi vengono spesso condivisi sotto forma di file ZIP che richiedono un'azione rapida. Ad esempio, un test di codifica ha chiesto ai candidati di risolvere un difetto del codice Python entro 15 minuti. La fretta di rispettare questa scadenza può far sì che gli sviluppatori saltino importanti controlli di sicurezza, rendendo facile l'attivazione inosservata del malware.
Obiettivi reali, grandi nomi, grandi rischi
Uno degli aspetti più inquietanti di questa campagna è che il Lazarus Group si spaccia per istituti finanziari affidabili come Capital One e Rookery Capital Limited per rendere la loro truffa più convincente. Dopo le conversazioni iniziali su LinkedIn, gli sviluppatori ricevono un file ZIP contenente malware camuffato da test di codifica. Per gli utenti macOS, questo malware è stato identificato come COVERTCATCH , che può scaricare ancora più software dannoso progettato per persistere nel sistema.
Sebbene non sia chiaro quanti sviluppatori siano stati presi di mira finora, il metodo sta diventando sempre più comune. Un rapporto della società di sicurezza informatica di Google, Mandiant, ha evidenziato come questi attacchi spesso inizino con conversazioni di chat apparentemente innocenti su LinkedIn, seguite dal test di codifica carico di malware.
Una minaccia globale dalle campagne più ampie del Gruppo Lazarus
Il Lazarus Group non si limita agli sviluppatori di software. È stato anche collegato ad attacchi di spear-phishing che hanno preso di mira sia la Russia che la Corea del Sud. Questi attacchi, nome in codice CLOUD#REVERSER, hanno portato alla distribuzione di malware come CURKON , un file di collegamento di Windows progettato per scaricare malware aggiuntivo. Hanno persino utilizzato strumenti RAT (Remote Access Trojan) come AsyncRAT e Lilith RAT per controllare i sistemi infetti da remoto.
Come gli sviluppatori possono rimanere al sicuro
- Sii scettico sulle offerte di lavoro: soprattutto se vieni contattato tramite LinkedIn o altre piattaforme di social media, prenditi del tempo per verificare la legittimità dell'azienda e della persona che ti contatta. I truffatori spesso si atteggiano a reclutatori di aziende note.
- Rivedi sempre il codice prima di eseguirlo: non importa quanto urgente possa sembrare un test di codifica, prenditi un momento per rivedere il codice sorgente prima di eseguirlo. Se ricevi un file ZIP, scansionalo con uno strumento anti-malware prima di decomprimerlo.
- Tieniti informato sulle minacce: le tecniche utilizzate dai criminali informatici si evolvono costantemente, quindi è fondamentale tenersi informati. Segui le notizie sulla sicurezza informatica per sapere a cosa fare attenzione.
- Utilizza strumenti di sicurezza: installa un software anti-malware affidabile in grado di rilevare e bloccare gli script dannosi nascosti nei pacchetti Python o in altri progetti di codifica.
La vigilanza è la chiave
L'uso di false valutazioni di codifica da parte del Lazarus Group per diffondere malware evidenzia come i criminali informatici stiano diventando più creativi nei loro attacchi. Gli sviluppatori, in particolare quelli desiderosi di ottenere il loro prossimo lavoro, sono i principali obiettivi. Ma prendendo alcune precauzioni extra, come rivedere il codice sorgente, verificare i reclutatori e rimanere aggiornati sui rischi per la sicurezza, puoi proteggere te stesso e i tuoi sistemi.