Utviklere målrettet i falske kodingstester fra Lazarus Group
I en verden der grensene mellom mulighet og fare visker ut, kan selv jobbintervjuer bli nettangrepsvektorer. Nylig avdekket cybersikkerhetseksperter en ny bølge av ondsinnet aktivitet rettet mot programvareutviklere, utført av den beryktede nordkoreansk-støttede Lazarus Group . Denne gangen bruker de falske kodetester for å lure utviklere til ubevisst å installere skadelig programvare. La oss bryte ned hva som skjer og hvordan du kan beskytte deg selv.
Table of Contents
En ny type cybertrussel: falske kodingsvurderinger
Hvis du er en utvikler på plattformer som GitHub, LinkedIn eller til og med npm og PyPI, kan det være lurt å være ekstra oppmerksom på eventuelle kodetester eller jobbtilbud som kommer. Lazarus Group, en kjent organisasjon for nettkriminalitet, har begynt å bruke falske jobbintervjuer for å lokke utviklere til å laste ned skadelige Python-pakker. Denne strategien har blitt sporet tilbake til en pågående kampanje kalt VMConnect, som startet i august 2023.
Slik fungerer det: En utvikler blir kontaktet for en "jobbmulighet" og bedt om å fullføre en kodeutfordring. Alt virker legitimt, men skjult i kodetesten er skadevare designet for å infiltrere utviklerens system.
Hvordan de fungerer og den skjulte faren i koden din
Lazarus Group bruker modifiserte versjoner av legitime Python-pakker som pyperclip og pyrebase for å skjule deres ondsinnede hensikter. Denne skadelige programvaren gjemmer seg i Python-pakkens filer, nærmere bestemt __init__.py
filen, og den tilsvarende kompilerte Python-filen (PYC). Når utvikleren kjører pakken, kontakter skadevaren en kommando-og-kontroll-server (C2) for å utføre flere kommandoer – uten at brukeren selv vet det.
For å gjøre vondt verre, deles disse ondsinnede pakkene ofte i form av en ZIP-fil som krever rask handling. En kodingstest ba for eksempel jobbsøkere om å fikse en Python-kodefeil innen 15 minutter. Hastverket med å overholde denne fristen kan føre til at utviklere hopper over viktige sikkerhetssjekker, noe som gjør det enkelt for skadelig programvare å aktivere ubemerket.
Virkelige mål, store navn, store risikoer
En av de mer urovekkende aspektene ved denne kampanjen er at Lazarus Group etterligner anerkjente finansinstitusjoner som Capital One og Rookery Capital Limited for å gjøre svindelen deres mer overbevisende. Etter innledende samtaler på LinkedIn mottar utviklere en ZIP-fil som inneholder skadelig programvare forkledd som en kodetest. For macOS-brukere har denne skadelige programvaren blitt identifisert som COVERTCATCH , som kan laste ned enda mer skadelig programvare designet for å vedvare på systemet.
Selv om det er uklart hvor mange utviklere som har vært målrettet så langt, blir metoden stadig mer vanlig. En rapport fra Googles nettsikkerhetsfirma Mandiant fremhevet hvordan disse angrepene ofte starter med uskyldige chat-samtaler på LinkedIn, etterfulgt av den malware-ladede kodingstesten.
En global trussel fra Lazarus Groups bredere kampanjer
Lazarus Group begrenser seg ikke til programvareutviklere. De har også blitt knyttet til spyd-phishing-angrep rettet mot både Russland og Sør-Korea. Disse angrepene, kodenavnet CLOUD#REVERSER, har ført til distribusjon av skadelig programvare som CURKON , en Windows-snarveisfil designet for å laste ned ytterligere skadelig programvare. De har til og med brukt RAT (Remote Access Trojan)-verktøy som AsyncRAT og Lilith RAT for å kontrollere infiserte systemer eksternt.
Hvordan utviklere kan holde seg trygge
- Vær skeptisk til jobbtilbud: Spesielt hvis du blir kontaktet gjennom LinkedIn eller andre sosiale medieplattformer, ta deg tid til å bekrefte legitimiteten til selskapet og personen som kontakter deg. Svindlere utgir seg ofte som rekrutterere fra kjente selskaper.
- Gjennomgå alltid koden før du kjører: Uansett hvor presserende en kodingstest kan virke, ta deg tid til å se gjennom kildekoden før du utfører den. Hvis du mottar en ZIP-fil, skann den med et anti-malware-verktøy før du pakker den ut.
- Hold deg informert om trusler: Teknikkene nettkriminelle bruker utvikler seg hele tiden, så det er avgjørende å holde seg informert. Følg cybersikkerhetsnyhetene for å vite hva du bør se opp for.
- Bruk sikkerhetsverktøy: Installer pålitelig anti-malware-programvare som kan oppdage og blokkere ondsinnede skript skjult i Python-pakker eller andre kodeprosjekter.
årvåkenhet er nøkkelen
Lazarus Groups bruk av falske kodingsvurderinger for å spre skadelig programvare fremhever hvordan nettkriminelle blir mer kreative i sine angrep. Utviklere, spesielt de som er ivrige etter å få sin neste jobb, er hovedmål. Men ved å ta noen ekstra forholdsregler – som å gjennomgå kildekoden, verifisere rekrutterere og holde deg oppdatert på sikkerhetsrisikoer – kan du beskytte deg selv og systemene dine.