Programiści na celowniku fałszywych testów kodowania od grupy Lazarus
W świecie, w którym granice między szansą a niebezpieczeństwem zacierają się, nawet rozmowy kwalifikacyjne mogą stać się wektorami cyberataków. Niedawno eksperci ds. cyberbezpieczeństwa odkryli nową falę złośliwej aktywności skierowanej przeciwko programistom, prowadzonej przez niesławną , wspieraną przez Koreę Północną Grupę Lazarus . Tym razem używają fałszywych testów kodowania, aby oszukać programistów i zmusić ich do nieświadomej instalacji złośliwego oprogramowania. Przyjrzyjmy się temu, co się dzieje i jak możesz się chronić.
Table of Contents
Nowy rodzaj cyberzagrożenia: fałszywe oceny kodowania
Jeśli jesteś programistą na platformach takich jak GitHub, LinkedIn, a nawet npm i PyPI, możesz chcieć zwrócić szczególną uwagę na wszelkie testy kodowania lub oferty pracy, które do Ciebie trafią. Lazarus Group, znana organizacja zajmująca się cyberprzestępczością, zaczęła używać fałszywych rozmów kwalifikacyjnych, aby zwabić programistów do pobierania szkodliwych pakietów Pythona. Strategia ta została prześledzona do trwającej kampanii o nazwie VMConnect, która rozpoczęła się w sierpniu 2023 r.
Oto jak to działa: Do programisty zwrócono się o „ofertę pracy” i poproszono go o ukończenie wyzwania kodowania. Wszystko wydaje się legalne, ale w teście kodowania ukryte jest złośliwe oprogramowanie zaprojektowane w celu infiltracji systemu programisty.
Jak działają i jakie ukryte zagrożenia kryją się w kodzie
Grupa Lazarus używa zmodyfikowanych wersji legalnych pakietów Pythona, takich jak pyperclip i pyrebase , aby ukryć swoje złośliwe zamiary. To złośliwe oprogramowanie ukrywa się w plikach pakietu Pythona, konkretnie w pliku __init__.py
i odpowiadającym mu skompilowanym pliku Pythona (PYC). Gdy programista uruchomi pakiet, złośliwe oprogramowanie kontaktuje się z serwerem poleceń i kontroli (C2), aby wykonać dalsze polecenia — nawet bez wiedzy użytkownika.
Co gorsza, te złośliwe pakiety są często udostępniane w formie pliku ZIP, który wymaga szybkiego działania. Na przykład, jeden test kodowania wymagał od osób poszukujących pracy naprawienia błędu w kodzie Pythona w ciągu 15 minut. Pośpiech, aby dotrzymać tego terminu, może spowodować, że programiści pominą ważne kontrole bezpieczeństwa, co ułatwi niezauważoną aktywację złośliwego oprogramowania.
Prawdziwe cele, wielkie nazwiska, wielkie ryzyko
Jednym z bardziej niepokojących aspektów tej kampanii jest to, że Lazarus Group podszywa się pod renomowane instytucje finansowe, takie jak Capital One i Rookery Capital Limited, aby ich oszustwo było bardziej przekonujące. Po początkowych rozmowach na LinkedIn, programiści otrzymują plik ZIP zawierający złośliwe oprogramowanie zamaskowane jako test kodowania. W przypadku użytkowników systemu macOS to złośliwe oprogramowanie zostało zidentyfikowane jako COVERTCATCH , które może pobrać jeszcze więcej złośliwego oprogramowania zaprojektowanego tak, aby przetrwać w systemie.
Chociaż nie jest jasne, ilu deweloperów padło dotychczas ofiarą ataku, ta metoda staje się coraz bardziej powszechna. Raport firmy Mandiant, zajmującej się cyberbezpieczeństwem Google, podkreślił, że ataki te często zaczynają się od niewinnie wyglądających rozmów na czacie na LinkedIn, po których następuje test kodowania obciążonego złośliwym oprogramowaniem.
Globalne zagrożenie ze strony szerszych kampanii Grupy Lazarus
Grupa Lazarus nie ogranicza się do programistów. Byli również powiązani z atakami typu spear-phishing wymierzonymi w Rosję i Koreę Południową. Ataki te, o nazwie kodowej CLOUD#REVERSER, doprowadziły do dystrybucji złośliwego oprogramowania, takiego jak CURKON , skrótu do systemu Windows zaprojektowanego w celu pobierania dodatkowego złośliwego oprogramowania. Używali nawet narzędzi RAT (Remote Access Trojan), takich jak AsyncRAT i Lilith RAT , aby zdalnie kontrolować zainfekowane systemy.
Jak programiści mogą zachować bezpieczeństwo
- Bądź sceptyczny wobec ofert pracy: Zwłaszcza jeśli ktoś się do Ciebie odezwie za pośrednictwem LinkedIn lub innych platform mediów społecznościowych, poświęć czas na sprawdzenie wiarygodności firmy i osoby, która się z Tobą kontaktuje. Oszuści często podszywają się pod rekruterów z dobrze znanych firm.
- Zawsze sprawdzaj kod przed uruchomieniem: Bez względu na to, jak pilny może się wydawać test kodowania, poświęć chwilę na sprawdzenie kodu źródłowego przed jego uruchomieniem. Jeśli otrzymasz plik ZIP, przeskanuj go narzędziem antymalware przed rozpakowaniem.
- Bądź na bieżąco z zagrożeniami: Techniki stosowane przez cyberprzestępców ewoluują nieustannie, dlatego pozostawanie na bieżąco jest kluczowe. Śledź wiadomości o cyberbezpieczeństwie, aby wiedzieć, na co uważać.
- Używaj narzędzi bezpieczeństwa: zainstaluj zaufane oprogramowanie antywirusowe, które może wykrywać i blokować złośliwe skrypty ukryte w pakietach Pythona lub innych projektach kodowania.
Czujność jest kluczem
Wykorzystanie przez Lazarus Group fałszywych ocen kodowania do rozprzestrzeniania złośliwego oprogramowania pokazuje, jak cyberprzestępcy stają się bardziej kreatywni w swoich atakach. Deweloperzy, zwłaszcza ci, którzy chcą zdobyć nową pracę, są głównymi celami. Jednak podejmując kilka dodatkowych środków ostrożności — takich jak przeglądanie kodu źródłowego, weryfikacja rekruterów i pozostawanie na bieżąco z zagrożeniami bezpieczeństwa — możesz chronić siebie i swoje systemy.