“Em uma entrevista por e-mail ao ReversingLabs, ele afirmou que foi contatado em seu perfil do LinkedIn e recebeu um link para um repositório GitHub como ‘lição de casa’”, disseram os pesquisadores. “O engenheiro foi solicitado a ‘encontrar um bug’, resolvê-lo e enviar alterações que resolvessem o bug. Quando as alterações foram feitas, o falso empregador pediu que ele enviasse capturas de tela do bug corrigido – para verificar se o desenvolvedor estava executando o projeto em sua máquina. “
Usando arquivos PYC para ocultar código malicioso
Em comparação com uma campanha semelhante de Node.js relatada pela Securonix, neste caso, os invasores armazenaram o código malicioso em arquivos de bytecode Python (PYC). Isso é importante porque esses arquivos estão em formato binário em vez de texto simples, como os arquivos de código-fonte normais, tornando o malware mais difícil de detectar.
Os arquivos PYC são gerados e armazenados em cache quando o interpretador Python importa ou executa um script Python. Como já são códigos traduzidos (compilados), podem posteriormente ser usados diretamente pelo interpretador Python sem reinterpretar o script original. Isso ajuda no desempenho porque tem tempos de inicialização mais rápidos, e o uso mais comum desses arquivos é na distribuição de módulos Python. Os arquivos PYC já foram usados por invasores para ocultar códigos maliciosos.
