Ontwikkelaars doelwit van nep-coderingstests van de Lazarus Group
In een wereld waarin de grenzen tussen kansen en gevaren vervagen, kunnen zelfs sollicitatiegesprekken cyberaanvalsvectoren worden. Onlangs ontdekten cybersecurity-experts een nieuwe golf van kwaadaardige activiteiten gericht op softwareontwikkelaars, uitgevoerd door de beruchte Noord-Koreaanse Lazarus Group . Deze keer gebruiken ze nep-coderingstests om ontwikkelaars te misleiden tot het onbewust installeren van malware. Laten we eens kijken wat er gebeurt en hoe u uzelf kunt beschermen.
Table of Contents
Een nieuw soort cyberdreiging: nep-coderingsbeoordelingen
Als je een ontwikkelaar bent op platforms als GitHub, LinkedIn of zelfs npm en PyPI, kun je extra aandacht besteden aan eventuele codeertests of vacatures die je kant op komen. De Lazarus Group, een bekende cybercrimeorganisatie, is nep-sollicitatiegesprekken gaan gebruiken om ontwikkelaars te verleiden schadelijke Python-pakketten te downloaden. Deze strategie is terug te voeren op een lopende campagne genaamd VMConnect, die in augustus 2023 begon.
Zo werkt het: Een ontwikkelaar wordt benaderd voor een "vacature" en gevraagd een codeeruitdaging te voltooien. Alles lijkt legitiem, maar verborgen in de codeertest zit malware die is ontworpen om het systeem van de ontwikkelaar te infiltreren.
Hoe ze werken en het verborgen gevaar in uw code
De Lazarus Group gebruikt aangepaste versies van legitieme Python-pakketten zoals pyperclip en pyrebase om hun kwaadaardige bedoelingen te verhullen. Deze malware verbergt zich in de bestanden van het Python-pakket, met name het bestand __init__.py
en het bijbehorende gecompileerde Python-bestand (PYC). Zodra de ontwikkelaar het pakket uitvoert, neemt de malware contact op met een command-and-control (C2)-server om verdere opdrachten uit te voeren, zonder dat de gebruiker het weet.
Om het nog erger te maken, worden deze kwaadaardige pakketten vaak gedeeld in de vorm van een ZIP-bestand dat snelle actie vereist. Zo vroeg een codeertest werkzoekenden om binnen 15 minuten een Python-codefout te repareren. De haast om deze deadline te halen, kan ertoe leiden dat ontwikkelaars belangrijke beveiligingscontroles overslaan, waardoor de malware gemakkelijk onopgemerkt kan worden geactiveerd.
Echte doelen, grote namen, grote risico's
Een van de meest verontrustende aspecten van deze campagne is dat de Lazarus Group zich voordoet als gerenommeerde financiële instellingen zoals Capital One en Rookery Capital Limited om hun oplichterij overtuigender te maken. Na de eerste gesprekken op LinkedIn ontvangen ontwikkelaars een ZIP-bestand met malware vermomd als een codeertest. Voor macOS-gebruikers is deze malware geïdentificeerd als COVERTCATCH , die nog meer kwaadaardige software kan downloaden die is ontworpen om op het systeem te blijven bestaan.
Hoewel het onduidelijk is hoeveel ontwikkelaars tot nu toe het doelwit zijn geweest, wordt de methode steeds gebruikelijker. Een rapport van Google's cybersecuritybedrijf Mandiant benadrukte hoe deze aanvallen vaak beginnen met onschuldig ogende chatgesprekken op LinkedIn, gevolgd door de met malware beladen codeertest.
Een wereldwijde bedreiging door de bredere campagnes van de Lazarus Group
De Lazarus Group beperkt zich niet tot softwareontwikkelaars. Ze zijn ook in verband gebracht met spear-phishingaanvallen gericht op zowel Rusland als Zuid-Korea. Deze aanvallen, codenaam CLOUD#REVERSER, hebben geleid tot de verspreiding van malware zoals CURKON , een Windows-snelkoppelingsbestand dat is ontworpen om extra malware te downloaden. Ze hebben zelfs RAT-tools (Remote Access Trojan) zoals AsyncRAT en Lilith RAT gebruikt om geïnfecteerde systemen op afstand te besturen.
Hoe ontwikkelaars veilig kunnen blijven
- Wees sceptisch over jobaanbiedingen: Neem vooral de tijd om de legitimiteit van het bedrijf en de persoon die contact met u opneemt te verifiëren, zeker als u via LinkedIn of andere social media platforms wordt benaderd. Oplichters doen zich vaak voor als recruiters van bekende bedrijven.
- Controleer altijd de code voordat u deze uitvoert: hoe dringend een codeertest ook lijkt, neem even de tijd om de broncode te controleren voordat u deze uitvoert. Als u een ZIP-bestand ontvangt, scan het dan met een anti-malwaretool voordat u het uitpakt.
- Blijf op de hoogte van bedreigingen: de technieken die cybercriminelen gebruiken, evolueren voortdurend, dus op de hoogte blijven is cruciaal. Volg cybersecuritynieuws om te weten waar u op moet letten.
- Gebruik beveiligingstools: installeer vertrouwde anti-malwaresoftware die schadelijke scripts kan detecteren en blokkeren die verborgen zijn in Python-pakketten of andere codeprojecten.
Waakzaamheid is de sleutel
Het gebruik van nep-coderingsbeoordelingen door de Lazarus Group om malware te verspreiden, laat zien hoe cybercriminelen steeds creatiever worden in hun aanvallen. Ontwikkelaars, vooral zij die graag hun volgende baan willen bemachtigen, zijn de voornaamste doelwitten. Maar door een paar extra voorzorgsmaatregelen te nemen, zoals het controleren van de broncode, het verifiëren van recruiters en op de hoogte blijven van beveiligingsrisico's, kunt u uzelf en uw systemen beschermen.