Desenvolvedores são alvos de testes de codificação falsos do Lazarus Group
Em um mundo onde as linhas entre oportunidade e perigo se confundem, até mesmo entrevistas de emprego podem se tornar vetores de ataques cibernéticos. Recentemente, especialistas em segurança cibernética descobriram uma nova onda de atividade maliciosa direcionada a desenvolvedores de software, realizada pelo infame Lazarus Group, apoiado pela Coreia do Norte . Desta vez, eles estão usando testes de codificação falsos para enganar os desenvolvedores a instalar malware sem saber. Vamos analisar o que está acontecendo e como você pode se proteger.
Table of Contents
Um novo tipo de ameaça cibernética: avaliações de codificação falsas
Se você é um desenvolvedor em plataformas como GitHub, LinkedIn ou mesmo npm e PyPI, você pode querer prestar atenção extra a quaisquer testes de codificação ou ofertas de emprego que surjam em seu caminho. O Lazarus Group, uma organização de crimes cibernéticos bem conhecida, começou a usar entrevistas de emprego falsas para atrair desenvolvedores a baixar pacotes Python prejudiciais. Essa estratégia foi rastreada até uma campanha em andamento chamada VMConnect, que começou em agosto de 2023.
Veja como funciona: Um desenvolvedor é abordado para uma "oportunidade de trabalho" e solicitado a completar um desafio de codificação. Tudo parece legítimo, mas escondido dentro do teste de codificação está um malware projetado para se infiltrar no sistema do desenvolvedor.
Como eles operam e o perigo oculto em seu código
O Lazarus Group usa versões modificadas de pacotes Python legítimos como pyperclip e pyrebase para disfarçar sua intenção maliciosa. Esse malware se esconde nos arquivos do pacote Python, especificamente no arquivo __init__.py
e no arquivo Python compilado correspondente (PYC). Depois que o desenvolvedor executa o pacote, o malware contata um servidor de comando e controle (C2) para executar mais comandos — sem que o usuário saiba.
Para piorar a situação, esses pacotes maliciosos são frequentemente compartilhados na forma de um arquivo ZIP que requer ação rápida. Por exemplo, um teste de codificação pediu aos candidatos a emprego que corrigissem uma falha de código Python em 15 minutos. A pressa para cumprir esse prazo pode fazer com que os desenvolvedores pulem verificações de segurança importantes, facilitando a ativação do malware sem ser notado.
Alvos reais, grandes nomes, grandes riscos
Um dos aspectos mais perturbadores dessa campanha é que o Lazarus Group está se passando por instituições financeiras respeitáveis como Capital One e Rookery Capital Limited para tornar seu golpe mais convincente. Após conversas iniciais no LinkedIn, os desenvolvedores recebem um arquivo ZIP contendo malware disfarçado de teste de codificação. Para usuários do macOS, esse malware foi identificado como COVERTCATCH , que pode baixar ainda mais software malicioso projetado para persistir no sistema.
Embora não esteja claro quantos desenvolvedores foram alvos até agora, o método está se tornando cada vez mais comum. Um relatório da empresa de segurança cibernética Mandiant, do Google, destacou como esses ataques geralmente começam com conversas de bate-papo aparentemente inocentes no LinkedIn, seguidas pelo teste de codificação carregado de malware.
Uma ameaça global das campanhas mais amplas do Grupo Lazarus
O Lazarus Group não está se limitando a desenvolvedores de software. Eles também foram vinculados a ataques de spear-phishing visando a Rússia e a Coreia do Sul. Esses ataques, codinome CLOUD#REVERSER, levaram à distribuição de malware como CURKON , um arquivo de atalho do Windows projetado para baixar malware adicional. Eles até usaram ferramentas RAT (Remote Access Trojan) como AsyncRAT e Lilith RAT para controlar sistemas infectados remotamente.
Como os desenvolvedores podem permanecer seguros
- Seja cético em relação a ofertas de emprego: especialmente se você for abordado pelo LinkedIn ou outras plataformas de mídia social, reserve um tempo para verificar a legitimidade da empresa e da pessoa que está entrando em contato com você. Golpistas geralmente se passam por recrutadores de empresas bem conhecidas.
- Sempre revise o código antes de executar: Não importa o quão urgente um teste de codificação possa parecer, reserve um momento para revisar o código-fonte antes de executá-lo. Se você receber um arquivo ZIP, escaneie-o com uma ferramenta anti-malware antes de descompactá-lo.
- Mantenha-se informado sobre ameaças: as técnicas que os cibercriminosos usam evoluem constantemente, então manter-se informado é crucial. Siga as notícias de segurança cibernética para saber o que observar.
- Use ferramentas de segurança: instale um software antimalware confiável que possa detectar e bloquear scripts maliciosos ocultos em pacotes Python ou outros projetos de codificação.
A vigilância é a chave
O uso de avaliações de codificação falsas pelo Lazarus Group para espalhar malware destaca como os criminosos cibernéticos estão se tornando mais criativos em seus ataques. Desenvolvedores, especialmente aqueles ansiosos para conseguir seu próximo emprego, são os principais alvos. Mas tomando algumas precauções extras — como revisar o código-fonte, verificar recrutadores e se manter atualizado sobre riscos de segurança — você pode proteger a si mesmo e seus sistemas.