Utvecklare riktade i falska kodningstester från Lazarus Group

I en värld där gränserna mellan möjlighet och fara suddas ut kan till och med anställningsintervjuer bli cyberattackvektorer. Nyligen upptäckte cybersäkerhetsexperter en ny våg av skadlig aktivitet riktad mot mjukvaruutvecklare, utförd av den ökända nordkoreansk-stödda Lazarus Group . Den här gången använder de falska kodningstester för att lura utvecklare att omedvetet installera skadlig programvara. Låt oss bryta ner vad som händer och hur du kan skydda dig själv.
Table of Contents
En ny typ av cyberhot: falska kodningsbedömningar
Om du är en utvecklare på plattformar som GitHub, LinkedIn eller till och med npm och PyPI, kanske du vill vara extra uppmärksam på alla kodningstester eller jobberbjudanden som kommer till dig. Lazarus Group, en välkänd cyberbrottsorganisation, har börjat använda falska jobbintervjuer för att locka utvecklare att ladda ner skadliga Python-paket. Denna strategi har spårats tillbaka till en pågående kampanj kallad VMConnect, som började i augusti 2023.
Så här fungerar det: En utvecklare kontaktas för en "jobbmöjlighet" och ombeds att slutföra en kodningsutmaning. Allt verkar legitimt, men gömd i kodningstestet är skadlig programvara utformad för att infiltrera utvecklarens system.
Hur de fungerar och den dolda faran i din kod
Lazarus Group använder modifierade versioner av legitima Python-paket som pyperclip och pyrebase för att dölja sina skadliga avsikter. Denna skadliga programvara gömmer sig i Python-paketets filer, särskilt filen __init__.py
och motsvarande kompilerade Python-fil (PYC). När utvecklaren kör paketet kontaktar skadlig programvara en kommando-och-kontroll-server (C2) för att utföra ytterligare kommandon – utan att användaren ens vet.
För att göra saken värre delas dessa skadliga paket ofta i form av en ZIP-fil som kräver snabba åtgärder. Till exempel bad ett kodningstest arbetssökande att fixa ett Python-kodfel inom 15 minuter. Brådskan att hålla denna deadline kan få utvecklare att hoppa över viktiga säkerhetskontroller, vilket gör det enkelt för skadlig programvara att aktiveras obemärkt.
Verkliga mål, stora namn, stora risker
En av de mer oroande aspekterna av denna kampanj är att Lazarus Group utger sig för att vara välrenommerade finansinstitutioner som Capital One och Rookery Capital Limited för att göra deras bedrägeri mer övertygande. Efter inledande konversationer på LinkedIn får utvecklare en ZIP-fil som innehåller skadlig programvara förklädd som ett kodningstest. För macOS-användare har denna skadliga programvara identifierats som COVERTCATCH , som kan ladda ner ännu mer skadlig programvara som är utformad för att finnas kvar i systemet.
Även om det är oklart hur många utvecklare som hittills har varit inriktade på, blir metoden allt vanligare. En rapport från Googles cybersäkerhetsföretag Mandiant lyfte fram hur dessa attacker ofta börjar med oskyldiga chattkonversationer på LinkedIn, följt av det skadliga kodningstestet.
Ett globalt hot från Lazarus Groups bredare kampanjer
Lazarus Group begränsar sig inte till mjukvaruutvecklare. De har också kopplats till spjutfiskeattacker riktade mot både Ryssland och Sydkorea. Dessa attacker, med kodnamnet CLOUD#REVERSER, har lett till spridning av skadlig programvara som CURKON , en Windows-genvägsfil utformad för att ladda ner ytterligare skadlig programvara. De har till och med använt RAT-verktyg (Remote Access Trojan) som AsyncRAT och Lilith RAT för att fjärrstyra infekterade system.
Hur utvecklare kan vara säkra
- Var skeptisk till jobberbjudanden: Särskilt om du blir kontaktad via LinkedIn eller andra sociala medieplattformar, ta dig tid att verifiera legitimiteten hos företaget och den person som kontaktar dig. Bedragare utger sig ofta som rekryterare från välkända företag.
- Granska alltid koden innan du kör: Oavsett hur brådskande ett kodningstest kan verka, ta en stund att granska källkoden innan du kör den. Om du får en ZIP-fil, skanna den med ett anti-malware-verktyg innan du packar upp den.
- Håll dig informerad om hot: Teknikerna som cyberbrottslingar använder utvecklas ständigt, så att hålla sig informerad är avgörande. Följ cybersäkerhetsnyheterna för att veta vad du ska se upp med.
- Använd säkerhetsverktyg: Installera pålitlig anti-malware-programvara som kan upptäcka och blockera skadliga skript dolda i Python-paket eller andra kodningsprojekt.
Vaksamhet är nyckeln
Lazarus Groups användning av falska kodningsbedömningar för att sprida skadlig programvara belyser hur cyberbrottslingar blir mer kreativa i sina attacker. Utvecklare, särskilt de som är ivriga att få sitt nästa jobb, är främsta mål. Men genom att vidta några extra försiktighetsåtgärder – som att granska källkoden, verifiera rekryterare och hålla dig uppdaterad om säkerhetsrisker – kan du skydda dig själv och dina system.