開發人員成為 Lazarus 集團虛假編碼測試的目標
在機會與危險之間界線模糊的世界中,即使是工作面試也可能成為網路攻擊媒介。最近,網路安全專家發現了由臭名昭著的北韓支持的 Lazarus Group發起的新一波針對軟體開發人員的惡意活動。這一次,他們使用虛假的編碼測試來誘騙開發人員在不知不覺中安裝惡意軟體。讓我們來分析一下發生了什麼以及如何保護自己。
Table of Contents
一種新型網路威脅:虛假編碼評估
如果您是 GitHub、LinkedIn、甚至 npm 和 PyPI 等平台的開發人員,您可能需要特別注意即將到來的任何編碼測試或工作機會。著名的網路犯罪組織 Lazarus Group 已開始使用虛假的工作面試來引誘開發人員下載有害的 Python 套件。這項策略可以追溯到 2023 年 8 月開始的一項名為 VMConnect 的持續活動。
它的工作原理如下:向開發人員尋求“工作機會”,並要求其完成編碼挑戰。一切看起來都是合法的,但編碼測試中隱藏著旨在滲透開發人員系統的惡意軟體。
它們如何運作以及您的程式碼中隱藏的危險
Lazarus 組織使用pyperclip和Pyrebase等合法 Python 軟體套件的修改版本來掩飾其惡意意圖。這個惡意軟體隱藏在 Python 套件的檔案中,特別是__init__.py
檔案和對應的已編譯 Python 檔案 (PYC)。一旦開發人員運行該軟體包,惡意軟體就會聯繫命令和控制 (C2) 伺服器來執行進一步的命令,而使用者甚至不知道。
更糟的是,這些惡意軟體包通常以 ZIP 檔案的形式共享,需要快速採取行動。例如,一項編碼測試要求求職者在 15 分鐘內修復 Python 程式碼缺陷。急於趕在最後期限之前可能會導致開發人員跳過重要的安全檢查,使惡意軟體很容易在不被注意的情況下啟動。
真正的目標、大牌、大風險
這項活動中更令人不安的方面之一是,Lazarus 集團冒充第一資本 (Capital One) 和 Rookery Capital Limited 等信譽良好的金融機構,以使他們的騙局更具說服力。在 LinkedIn 上進行初步對話後,開發人員會收到一個 ZIP 文件,其中包含偽裝成編碼測試的惡意軟體。對於 macOS 用戶,該惡意軟體已被識別為COVERTCATCH ,它可以下載更多旨在持久存在系統上的惡意軟體。
雖然目前還不清楚有多少開發者成為攻擊目標,但這種方法正變得越來越普遍。谷歌網路安全公司 Mandiant 的一份報告強調了這些攻擊通常是從 LinkedIn 上看似無辜的聊天對話開始的,然後是充滿惡意軟體的編碼測試。
拉撒路集團更廣泛的活動所帶來的全球威脅
Lazarus Group 並不限於軟體開發商。它們也與針對俄羅斯和韓國的魚叉式網路釣魚攻擊有關。這些代號為 CLOUD#REVERSER 的攻擊導致了CURKON等惡意軟體的傳播,CURKON 是一種 Windows 快捷方式文件,旨在下載其他惡意軟體。他們甚至使用AsyncRAT和Lilith RAT等 RAT(遠端存取木馬)工具來遠端控制受感染的系統。
開發人員如何保持安全
- 對工作機會持懷疑態度:尤其是當透過 LinkedIn 或其他社交媒體平台聯繫您時,請花時間驗證公司和聯繫您的人的合法性。詐騙者經常冒充知名公司的招募人員。
- 運行前始終檢查程式碼:無論編碼測試看起來多麼緊急,在執行之前都花點時間檢查原始程式碼。如果您收到 ZIP 文件,請在解壓縮之前使用反惡意軟體工具對其進行掃描。
- 隨時了解威脅:網路犯罪分子使用的技術不斷發展,因此及時了解威脅至關重要。關注網路安全新聞以了解需要注意的事項。
- 使用安全性工具:安裝受信任的反惡意軟體軟體,該軟體可以偵測並阻止隱藏在 Python 套件或其他編碼專案中的惡意腳本。
保持警覺是關鍵
Lazarus 組織使用虛假編碼評估來傳播惡意軟體,這突顯了網路犯罪分子在攻擊中變得越來越有創意。開發商,尤其是那些渴望找到下一份工作的開發商,是主要目標。但是,採取一些額外的預防措施(例如檢查原始程式碼、驗證招募人員以及隨時了解安全風險),您可以保護自己和您的系統。