Kūrėjai, kuriems taikomi netikro kodavimo testai iš „Lazarus Group“.
Pasaulyje, kuriame ribos tarp galimybių ir pavojaus išsilieja, net darbo pokalbiai gali tapti kibernetinių atakų vektoriais. Neseniai kibernetinio saugumo ekspertai atskleidė naują kenkėjiškos veiklos bangą, nukreiptą į programinės įrangos kūrėjus, kurią vykdė liūdnai pagarsėjusi Šiaurės Korėjos remiama „Lazarus Group“ . Šį kartą jie naudoja netikrus kodavimo testus, kad apgautų kūrėjus, kad jie nesąmoningai įdiegtų kenkėjiškas programas. Išsiaiškinkime, kas vyksta ir kaip galite apsisaugoti.
Table of Contents
Nauja kibernetinės grėsmės rūšis: netikri kodavimo vertinimai
Jei esate tokių platformų kaip „GitHub“, „LinkedIn“ ar net „npm“ ir „PyPI“ kūrėjas, galbūt norėsite daugiau dėmesio skirti bet kokiems kodavimo testams ar darbo pasiūlymams. „Lazarus Group“, gerai žinoma kibernetinių nusikaltimų organizacija, pradėjo naudoti netikrus darbo pokalbius, kad priviliotų kūrėjus atsisiųsti kenksmingus Python paketus. Ši strategija buvo atsekta iki vykstančios kampanijos, pavadintos VMConnect, kuri prasidėjo 2023 m. rugpjūčio mėn.
Štai kaip tai veikia: į kūrėją kreipiamasi dėl „darbo galimybės“ ir jo prašoma atlikti kodavimo iššūkį. Viskas atrodo teisėta, tačiau kodavimo teste paslėpta kenkėjiška programa, skirta įsiskverbti į kūrėjo sistemą.
Kaip jie veikia ir paslėptas pavojus jūsų kode
„Lazarus Group“ naudoja modifikuotas teisėtų „Python“ paketų, tokių kaip pyperclip ir pyrebase, versijas, kad užmaskuotų savo kenkėjiškus ketinimus. Ši kenkėjiška programa slepiasi Python paketo failuose, ypač faile __init__.py
ir atitinkamame sukompiliuotame Python faile (PYC). Kūrėjui paleidus paketą, kenkėjiška programa susisiekia su komandų ir valdymo (C2) serveriu, kad vykdytų kitas komandas – vartotojui to net nežinant.
Dar blogiau, šie kenkėjiški paketai dažnai bendrinami kaip ZIP failas, kuriam reikia skubių veiksmų. Pavyzdžiui, vienas kodavimo testas paprašė darbo ieškančių asmenų per 15 minučių pataisyti Python kodo trūkumą. Dėl skubėjimo laikytis šio termino kūrėjai gali praleisti svarbias saugumo patikras, todėl kenkėjiška programa gali lengvai nepastebimai suaktyvėti.
Tikri tikslai, dideli vardai, didelė rizika
Vienas iš nerimą keliančių šios kampanijos aspektų yra tai, kad „Lazarus Group“ apsimetinėja gerbiamų finansų įstaigomis, tokiomis kaip „Capital One“ ir „Rookery Capital Limited“, kad jų sukčiavimas būtų įtikinamesnis. Po pradinių pokalbių „LinkedIn“ kūrėjai gauna ZIP failą su kenkėjiška programa, užmaskuota kaip kodavimo testas. „MacOS“ naudotojams ši kenkėjiška programa buvo identifikuota kaip COVERTCATCH , kuri gali atsisiųsti dar daugiau kenkėjiškos programinės įrangos, sukurtos išlikti sistemoje.
Nors neaišku, kiek kūrėjų iki šiol buvo nutaikyta, šis metodas tampa vis dažnesnis. „Google“ kibernetinio saugumo įmonės „Mandiant“ ataskaitoje pabrėžta, kad šios atakos dažnai prasideda nuo nekaltai atrodančių pokalbių „LinkedIn“, o po to seka kenkėjiškų programų perkrautas kodavimo testas.
Visuotinė grėsmė iš „Lazarus Group“ platesnių kampanijų
„Lazarus Group“ neapsiriboja programinės įrangos kūrėjais. Jie taip pat buvo siejami su sukčiavimo išpuoliais, nukreiptais į Rusiją ir Pietų Korėją. Dėl šių atakų, kurių kodinis pavadinimas CLOUD#REVERSER, buvo išplatintos kenkėjiškos programos, tokios kaip CURKON , „Windows“ sparčiųjų klavišų failas, skirtas papildomai kenkėjiškoms programoms atsisiųsti. Jie netgi naudojo RAT (nuotolinės prieigos Trojos arklys) įrankius, tokius kaip AsyncRAT ir Lilith RAT, kad nuotoliniu būdu valdytų užkrėstas sistemas.
Kaip kūrėjai gali išlikti saugūs
- Būkite skeptiški dėl darbo pasiūlymų: ypač jei į jus kreipiamasi per „LinkedIn“ ar kitas socialinės žiniasklaidos platformas, skirkite laiko įmonės ir asmens, susisiekusio su jumis, teisėtumui patikrinti. Sukčiai dažnai prisistato kaip verbuotojai iš žinomų kompanijų.
- Visada peržiūrėkite kodą prieš paleisdami: kad ir koks skubus kodavimo testas atrodytų, skirkite šiek tiek laiko ir peržiūrėkite šaltinio kodą prieš jį vykdydami. Jei gaunate ZIP failą, prieš išpakuodami nuskaitykite jį naudodami kovos su kenkėjiškomis programomis įrankį.
- Būkite informuoti apie grėsmes: kibernetinių nusikaltėlių naudojami metodai nuolat tobulėja, todėl labai svarbu būti informuotam. Sekite kibernetinio saugumo naujienas, kad sužinotumėte, ko saugotis.
- Naudokite saugos įrankius: įdiekite patikimą apsaugos nuo kenkėjiškų programų programinę įrangą, kuri gali aptikti ir blokuoti kenkėjiškus scenarijus, paslėptus Python paketuose ar kituose kodavimo projektuose.
Budrumas yra raktas
Tai, kad „Lazarus Group“ naudoja netikrus kodavimo vertinimus kenkėjiškoms programoms platinti, rodo, kaip kibernetiniai nusikaltėliai tampa kūrybiškesni savo atakose. Kūrėjai, ypač norintys gauti kitą darbą, yra pagrindiniai taikiniai. Tačiau imdamiesi kelių papildomų atsargumo priemonių, pvz., peržiūrėdami šaltinio kodą, tikrindami darbuotojus ir nuolat informuodami apie saugumo riziką, galite apsaugoti save ir savo sistemas.