Utvecklare riktade i falska kodningstester från Lazarus Group

I en värld där gränserna mellan möjlighet och fara suddas ut kan till och med anställningsintervjuer bli cyberattackvektorer. Nyligen upptäckte cybersäkerhetsexperter en ny våg av skadlig aktivitet riktad mot mjukvaruutvecklare, utförd av den ökända nordkoreansk-stödda Lazarus Group . Den här gången använder de falska kodningstester för att lura utvecklare att omedvetet installera skadlig programvara. Låt oss bryta ner vad som händer och hur du kan skydda dig själv.

En ny typ av cyberhot: falska kodningsbedömningar

Om du är en utvecklare på plattformar som GitHub, LinkedIn eller till och med npm och PyPI, kanske du vill vara extra uppmärksam på alla kodningstester eller jobberbjudanden som kommer till dig. Lazarus Group, en välkänd cyberbrottsorganisation, har börjat använda falska jobbintervjuer för att locka utvecklare att ladda ner skadliga Python-paket. Denna strategi har spårats tillbaka till en pågående kampanj kallad VMConnect, som började i augusti 2023.

Så här fungerar det: En utvecklare kontaktas för en "jobbmöjlighet" och ombeds att slutföra en kodningsutmaning. Allt verkar legitimt, men gömd i kodningstestet är skadlig programvara utformad för att infiltrera utvecklarens system.

Hur de fungerar och den dolda faran i din kod

Lazarus Group använder modifierade versioner av legitima Python-paket som pyperclip och pyrebase för att dölja sina skadliga avsikter. Denna skadliga programvara gömmer sig i Python-paketets filer, särskilt filen __init__.py och motsvarande kompilerade Python-fil (PYC). När utvecklaren kör paketet kontaktar skadlig programvara en kommando-och-kontroll-server (C2) för att utföra ytterligare kommandon – utan att användaren ens vet.

För att göra saken värre delas dessa skadliga paket ofta i form av en ZIP-fil som kräver snabba åtgärder. Till exempel bad ett kodningstest arbetssökande att fixa ett Python-kodfel inom 15 minuter. Brådskan att hålla denna deadline kan få utvecklare att hoppa över viktiga säkerhetskontroller, vilket gör det enkelt för skadlig programvara att aktiveras obemärkt.

Verkliga mål, stora namn, stora risker

En av de mer oroande aspekterna av denna kampanj är att Lazarus Group utger sig för att vara välrenommerade finansinstitutioner som Capital One och Rookery Capital Limited för att göra deras bedrägeri mer övertygande. Efter inledande konversationer på LinkedIn får utvecklare en ZIP-fil som innehåller skadlig programvara förklädd som ett kodningstest. För macOS-användare har denna skadliga programvara identifierats som COVERTCATCH , som kan ladda ner ännu mer skadlig programvara som är utformad för att finnas kvar i systemet.

Även om det är oklart hur många utvecklare som hittills har varit inriktade på, blir metoden allt vanligare. En rapport från Googles cybersäkerhetsföretag Mandiant lyfte fram hur dessa attacker ofta börjar med oskyldiga chattkonversationer på LinkedIn, följt av det skadliga kodningstestet.

Ett globalt hot från Lazarus Groups bredare kampanjer

Lazarus Group begränsar sig inte till mjukvaruutvecklare. De har också kopplats till spjutfiskeattacker riktade mot både Ryssland och Sydkorea. Dessa attacker, med kodnamnet CLOUD#REVERSER, har lett till spridning av skadlig programvara som CURKON , en Windows-genvägsfil utformad för att ladda ner ytterligare skadlig programvara. De har till och med använt RAT-verktyg (Remote Access Trojan) som AsyncRAT och Lilith RAT för att fjärrstyra infekterade system.

Hur utvecklare kan vara säkra

  1. Var skeptisk till jobberbjudanden: Särskilt om du blir kontaktad via LinkedIn eller andra sociala medieplattformar, ta dig tid att verifiera legitimiteten hos företaget och den person som kontaktar dig. Bedragare utger sig ofta som rekryterare från välkända företag.
  2. Granska alltid koden innan du kör: Oavsett hur brådskande ett kodningstest kan verka, ta en stund att granska källkoden innan du kör den. Om du får en ZIP-fil, skanna den med ett anti-malware-verktyg innan du packar upp den.
  3. Håll dig informerad om hot: Teknikerna som cyberbrottslingar använder utvecklas ständigt, så att hålla sig informerad är avgörande. Följ cybersäkerhetsnyheterna för att veta vad du ska se upp med.
  4. Använd säkerhetsverktyg: Installera pålitlig anti-malware-programvara som kan upptäcka och blockera skadliga skript dolda i Python-paket eller andra kodningsprojekt.

Vaksamhet är nyckeln

Lazarus Groups användning av falska kodningsbedömningar för att sprida skadlig programvara belyser hur cyberbrottslingar blir mer kreativa i sina attacker. Utvecklare, särskilt de som är ivriga att få sitt nästa jobb, är främsta mål. Men genom att vidta några extra försiktighetsåtgärder – som att granska källkoden, verifiera rekryterare och hålla dig uppdaterad om säkerhetsrisker – kan du skydda dig själv och dina system.

År Zane
September 11, 2024
Computer Security
Svenska
September 11, 2024
Computer Security

Populära inlägg

Vad är OperaGXSetup.exe-filen och är den skadlig?

11 months sedan

Eporner.com och varför dess överdrivna popup-fönster är riskabla

12 days sedan

Notera: Någon har lagt till dig som sin e-postbedrägeri för...

10 months sedan

HackTool:Win32/Crack: ett skadligt hot som allvarligt kan...

7 months sedan

Ett potentiellt allvarligt hot: Trojan:Win32/Suschil!rfn

19 days sedan

Vad är hotet om den trojanska hästen från Packunwan och hur...

11 months sedan
Svenska
Läser in...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.