Lazarus Group 的虚假编码测试针对开发人员
在这个机遇与危险界限模糊的世界里,就连求职面试也可能成为网络攻击的载体。最近,网络安全专家发现了一波针对软件开发人员的恶意活动,这些活动是由臭名昭著的朝鲜支持的 Lazarus Group发起的。这一次,他们使用虚假的编码测试来诱骗开发人员在不知情的情况下安装恶意软件。让我们分析一下发生了什么,以及如何保护自己。
Table of Contents
一种新型网络威胁:伪造编码评估
如果您是 GitHub、LinkedIn 甚至 npm 和 PyPI 等平台上的开发人员,您可能需要特别注意任何向您发送的编码测试或工作机会。著名的网络犯罪组织 Lazarus Group 已开始使用虚假的求职面试来诱骗开发人员下载有害的 Python 软件包。这一策略可以追溯到 2023 年 8 月开始的名为 VMConnect 的持续活动。
其工作原理如下:一名开发人员接到“工作机会”的邀请,并被要求完成一项编码挑战。一切看似合法,但编码测试中隐藏着旨在渗透开发人员系统的恶意软件。
它们如何运作以及代码中隐藏的危险
Lazarus Group 使用合法 Python 软件包(如pyperclip和pyrebase)的修改版本来掩盖其恶意意图。该恶意软件隐藏在 Python 软件包的文件中,特别是__init__.py
文件和相应的编译 Python 文件 (PYC)。一旦开发人员运行该软件包,恶意软件就会联系命令和控制 (C2) 服务器以执行进一步的命令 - 而用户甚至不知道。
更糟糕的是,这些恶意软件包通常以 ZIP 文件的形式共享,需要快速采取行动。例如,一项编码测试要求求职者在 15 分钟内修复 Python 代码缺陷。为了赶上这个期限,开发人员可能会跳过重要的安全检查,从而使恶意软件很容易在不被察觉的情况下被激活。
真正的目标、大人物、大风险
此次活动最令人不安的方面之一是,Lazarus Group 冒充 Capital One 和 Rookery Capital Limited 等知名金融机构,以使其骗局更具说服力。在 LinkedIn 上进行初步交谈后,开发人员会收到一个 ZIP 文件,其中包含伪装成编码测试的恶意软件。对于 macOS 用户,此恶意软件已被识别为COVERTCATCH ,它可以下载更多旨在在系统上持久存在的恶意软件。
虽然目前尚不清楚有多少开发人员成为攻击目标,但这种方法正变得越来越普遍。谷歌网络安全公司 Mandiant 的一份报告强调,这些攻击通常始于 LinkedIn 上看似无害的聊天对话,然后是充满恶意软件的编码测试。
拉撒路组织更广泛的攻击活动带来的全球威胁
Lazarus Group 的目标不仅限于软件开发人员。他们还涉嫌针对俄罗斯和韩国的鱼叉式网络钓鱼攻击。这些代号为 CLOUD#REVERSER 的攻击已导致CURKON等恶意软件的传播,CURKON 是一种用于下载其他恶意软件的 Windows 快捷方式文件。他们甚至使用AsyncRAT和Lilith RAT等 RAT(远程访问木马)工具来远程控制受感染的系统。
开发人员如何保证安全
- 对工作机会持怀疑态度:尤其是当您通过 LinkedIn 或其他社交媒体平台联系时,请花时间核实公司和联系您的人的合法性。诈骗者经常冒充知名公司的招聘人员。
- 运行前务必检查代码:无论编码测试看起来有多紧急,在执行之前都要花点时间检查源代码。如果您收到 ZIP 文件,请在解压前使用反恶意软件工具对其进行扫描。
- 随时了解威胁:网络犯罪分子使用的技术不断演变,因此随时了解威胁至关重要。关注网络安全新闻,了解需要注意的事项。
- 使用安全工具:安装可信的反恶意软件,可以检测并阻止隐藏在 Python 包或其他编码项目中的恶意脚本。
警惕是关键
Lazarus Group 使用虚假编码评估来传播恶意软件,凸显了网络犯罪分子在攻击中越来越有创意。开发人员,尤其是那些急于找到新工作的开发人员,是主要目标。但通过采取一些额外的预防措施(例如检查源代码、验证招聘人员并随时了解安全风险),您可以保护自己和您的系统。