Разработчики подверглись фальшивым тестам на кодирование от Lazarus Group
В мире, где границы между возможностями и опасностью размываются, даже собеседования при приеме на работу могут стать векторами кибератак. Недавно эксперты по кибербезопасности раскрыли новую волну вредоносной активности, направленной на разработчиков программного обеспечения, которую осуществляет печально известная поддерживаемая Северной Кореей группа Lazarus . На этот раз они используют поддельные тесты кодирования, чтобы обмануть разработчиков, заставив их неосознанно установить вредоносное ПО. Давайте разберемся, что происходит и как вы можете защитить себя.
Table of Contents
Новый вид киберугрозы: поддельные оценки кодирования
Если вы разработчик на таких платформах, как GitHub, LinkedIn или даже npm и PyPI, вам стоит обратить особое внимание на любые тесты по кодированию или предложения о работе, которые вам попадаются. Lazarus Group, известная киберпреступная организация, начала использовать поддельные собеседования, чтобы заманить разработчиков на загрузку вредоносных пакетов Python. Эта стратегия восходит к продолжающейся кампании под названием VMConnect, которая началась в августе 2023 года.
Вот как это работает: разработчику предлагают «вакансию» и просят выполнить задание по кодированию. Все кажется законным, но в тесте по кодированию спрятано вредоносное ПО, предназначенное для проникновения в систему разработчика.
Как они работают и скрытая опасность в вашем коде
Группа Lazarus использует модифицированные версии легитимных пакетов Python, таких как pyperclip и pyrebase , чтобы скрыть свои злонамеренные намерения. Эта вредоносная программа скрывается в файлах пакета Python, в частности в файле __init__.py
и соответствующем скомпилированном файле Python (PYC). После того, как разработчик запускает пакет, вредоносная программа связывается с сервером управления и контроля (C2) для выполнения дальнейших команд — без ведома пользователя.
Хуже того, эти вредоносные пакеты часто распространяются в виде ZIP-файла, требующего быстрых действий. Например, в одном тесте по кодированию соискателям предлагалось исправить ошибку в коде Python в течение 15 минут. Спешка, чтобы уложиться в этот срок, может привести к тому, что разработчики пропустят важные проверки безопасности, что позволит вредоносному ПО легко активироваться незамеченным.
Реальные цели, громкие имена, большие риски
Одним из наиболее тревожных аспектов этой кампании является то, что Lazarus Group выдает себя за авторитетные финансовые учреждения, такие как Capital One и Rookery Capital Limited, чтобы сделать свою аферу более убедительной. После первоначальных разговоров на LinkedIn разработчики получают ZIP-файл, содержащий вредоносное ПО, замаскированное под тест кодирования. Для пользователей macOS это вредоносное ПО было идентифицировано как COVERTCATCH , которое может загружать еще больше вредоносного ПО, предназначенного для сохранения в системе.
Пока неясно, сколько разработчиков подверглись атакам, но этот метод становится все более распространенным. Отчет компании по кибербезопасности Mandiant, принадлежащей Google, подчеркивает, что эти атаки часто начинаются с невинных на вид разговоров в чате LinkedIn, за которыми следует тест на вредоносное кодирование.
Глобальная угроза от более широких кампаний Lazarus Group
Группа Lazarus не ограничивается разработчиками программного обеспечения. Они также были связаны с фишинговыми атаками, нацеленными как на Россию, так и на Южную Корею. Эти атаки под кодовым названием CLOUD#REVERSER привели к распространению вредоносного ПО, такого как CURKON , ярлык Windows, предназначенный для загрузки дополнительного вредоносного ПО. Они даже использовали инструменты RAT (троян удаленного доступа), такие как AsyncRAT и Lilith RAT, для удаленного управления зараженными системами.
Как разработчики могут оставаться в безопасности
- Будьте скептически настроены к предложениям о работе: особенно если к вам обращаются через LinkedIn или другие платформы социальных сетей, уделите время проверке легитимности компании и человека, который с вами связывается. Мошенники часто выдают себя за рекрутеров из известных компаний.
- Всегда проверяйте код перед запуском: Независимо от того, насколько срочным может показаться тест кодирования, уделите время просмотру исходного кода перед его выполнением. Если вы получили ZIP-файл, просканируйте его с помощью инструмента защиты от вредоносных программ перед распаковкой.
- Будьте в курсе угроз: Методы, используемые киберпреступниками, постоянно развиваются, поэтому важно быть в курсе событий. Следите за новостями кибербезопасности, чтобы знать, чего следует опасаться.
- Используйте инструменты безопасности: установите надежное антивирусное программное обеспечение, которое может обнаруживать и блокировать вредоносные скрипты, скрытые в пакетах Python или других проектах кодирования.
Бдительность – это ключ
Использование Lazarus Group поддельных оценок кодирования для распространения вредоносного ПО подчеркивает, как киберпреступники становятся все более изобретательными в своих атаках. Разработчики, особенно те, кто стремится получить свою следующую работу, являются основными целями. Но приняв несколько дополнительных мер предосторожности — например, просмотр исходного кода, проверка рекрутеров и получение актуальной информации о рисках безопасности — вы можете защитить себя и свои системы.