Хакеры охотятся на знатоков Python с помощью теста для программистов
Северокорейские хакеры выступают от имени американских банков, якобы ищущих программистов. Потенциальным соискателям предлагают пройти срочное тестовое задание, которое предполагает поиск и устранение уязвимости в менеджере паролей в течение получаса. Однако жертвы, сами того не понимая, загружают в свои системы вредоносные компоненты.
Пакет с секретом
Хакеры северокорейской кибергруппировки Lazarus уже около года охотятся на программистов на Python с помощью мнимого теста. Потенциальным жертвам предлагается найти ошибку в программном менеджере паролей. Но под этим предлогом им сгружаются вредоносные компоненты.
Как указывается в публикации компании ReversingLabs, которая отслеживает это направление деятельности Lazarus, вредоносная кампания против программистов на языке Python началась не позднее августа прошлого года. Тогда же злоумышленники загрузили вредоносные пакеты в репозиторий PyPI.
Сами проекты, исследовать которые предлагается жертвам, размещаются на GitHub, вместе с файлами README, в которых содержатся инструкции для проходящих мнимый тест.
Эксперты ReversingLabs отмечают, что хакеры Lazarus отслеживают программистов в профессиональной сети LinkedIn, и обращаются к ним от имени крупных американских банков, таких как Capital One, предлагая якобы срочные вакансии.
Потенциальным жертвам предлагается найти уязвимость в менеджере паролей, внести исправление и отправить скриншот в качестве подтверждения.
Но для этого сперва потребуется запустить само приложение - PasswordManager.py - в своей системе.
На деле этот файл запускает замаскированный с помощью base64 модуль, скрытый в файлах _init_.py прилагаемых библиотек pyperclip и pyrebase. Этот модуль является загрузчиком вредоносных компонентов, который обращается к контрольному серверу и ожидает инструкций.
Сюда смотри, а туда - не надо
Чтобы удостовериться, что кандидаты (в жертвы) не начнут проверять проектные файлы на вредоносное содержимое, в инструкциях им предлагается выполнить все задачи в срочном порядке: пять минут на компиляцию проектах, 15 минут на поиск и устранение уязвимости и 10 минут - на отправку результатов. Такая срочность якобы должна доказать профессионализм и квалификацию кандидата.
Кампания была активна как минимум до 31 июля 2024 г.
«Вполне возможно, что кампания продолжается и поныне, а значит, программистам следует соблюдать осторожность: не факт, что LinkedIn - единственная площадка, где ведётся «охота», - считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. - В любом случае, в текущих условиях, если вы программист, работающий в крупной компании, необходимо всеми возможными способами проверять и перепроверять личность того, кто предлагает новую работу. В особенности, если речь идёт про срочные вакансии и работодатель сулит золотые горы».
Для группировки Lazarus весьма типично выбирать какие-то конкретные категории потенциальных жертв - обычно по признакам занятости - и атаковать от имени легитимных организаций. Использовать Linkedin и для поиска жертв стало для них так же обычным делом: злоумышленники рассматривают профессионалов как своего рода точку входа в инфраструктуру крупных компаний или средство получения доступа к интересующим их технологиям.