Pesquisadores de segurança cibernética descobriram um novo conjunto de pacotes Python maliciosos que visam desenvolvedores de software sob o pretexto de inspeção de código.
“Novas amostras rastreadas para projetos do GitHub estão ligadas a ataques direcionados anteriores, onde os desenvolvedores foram atraídos por meio de entrevistas falsas”, disse Karlo Zanki, pesquisador do ReversingLabs.
Foi verificado que este trabalho faz parte de uma campanha em andamento chamada VMConnect, que começou em agosto de 2023. Há indicações de que é obra do Grupo Lazarus, apoiado pela Coreia do Norte.
O uso de entrevistas de emprego como meio de infecção tem sido amplamente adotado pelos atores de ameaças norte-coreanos, seja para abordar desenvolvedores desavisados em sites como o LinkedIn ou para induzi-los a baixar pacotes maliciosos como parte dos chamados testes de habilidades.
Esses pacotes, por outro lado, são publicados diretamente em repositórios públicos como npm e PyPI, ou hospedados em repositórios GitHub sob seu controle.
ReversingLabs disse que identificou código malicioso incorporado em versões modificadas de bibliotecas PyPI, como pyperclip e pyrebase.
“O código malicioso existe tanto no arquivo __init__.py quanto no arquivo Python compilado (PYC) correspondente no diretório __pycache__ de vários módulos”, disse Zanki.
É implementado na forma de uma string codificada em Base64 que criptografa a função de download que estabelece contato com o servidor de comando e controle (C2) para executar os comandos recebidos como resposta.
Em um caso de tarefa de codificação citada por uma empresa de software, os golpistas tentaram criar uma falsa sensação de urgência, exigindo que os candidatos a emprego criassem um projeto Python compartilhado na forma de um arquivo ZIP em cinco minutos e o encontrassem e corrigissem. código de erro nos próximos 15 minutos.
Isso torna “mais provável que eles usem o pacote sem fazer qualquer tipo de segurança ou mesmo uma revisão do código-fonte primeiro”, disse Zanki, acrescentando “isso garante que os atores mal-intencionados que executam esta campanha usarão o malware incorporado no sistema do desenvolvedor. “
Alguns dos testes mencionados acima são a discussão técnica de instituições financeiras como Capital One e Rookery Capital Limited, que enfatiza como os atores ameaçadores fingem ser empresas legítimas deste setor para interromper o trabalho.
Ainda não está claro até que ponto estas campanhas estão difundidas, embora os alvos estejam a ser rastreados e contactados através do LinkedIn, como recentemente destacado pela Mandiant, propriedade da Google.
“Após a conversa inicial, o invasor enviou um arquivo ZIP contendo o malware COVERTCATCH disfarçado como um desafio de codificação Python, que comprometeu os sistemas macOS dos usuários ao baixar malware de segundo estágio que persistiu através de Launch Agents e Launch Daemons”, disse a empresa. .
O desenvolvimento ocorre no momento em que a empresa de segurança cibernética Genians revela que um ator de ameaça norte-coreano chamado Konni está intensificando seus ataques contra a Rússia e a Coreia do Sul usando pontas de lança de phishing que levam ao uso de AsyncRAT, com sobreposições associadas a uma campanha chamada CLOUD#REVERSER (puNK -002).
Alguns desses ataques incluem a distribuição de um novo malware chamado CURKON, um arquivo de atalho do Windows (LNK) que atua como um downloader para a versão AutoIt do Lilith RAT. O trabalho está vinculado a um subcluster rastreado como puNK-003, por S2W.
