Lazarus colpisce sviluppatori con falsi test per password manager

I membri del gruppo di hacker nordcoreano Lazarus che si spacciano per reclutatori stanno attirando gli sviluppatori Python con progetti di test di codifica per prodotti di gestione delle password che includono malware. Gli attacchi fanno parte della campagna “VMConnect" rilevata per la prima volta nell'agosto 2023. Gli autori di tale minaccia hanno preso di mira gli sviluppatori di software con pacchetti Python dannosi caricati sul repository PyPI.

Secondo un rapporto di ReversingLabs, che monitora la campagna da oltre un anno, gli hacker di Lazarus ospitano i progetti di codifica dannosi su GitHub, dove le vittime trovano file README con istruzioni su come completare il test. Le istruzioni sono pensate per dare un senso di professionalità e legittimità all'intero processo, nonché un senso di urgenza. ReversingLabs ha scoperto che i nordcoreani impersonano grandi banche statunitensi come Capital One per attrarre candidati, offrendo loro probabilmente un allettante pacchetto di lavoro. Ulteriori prove recuperate da una delle vittime suggeriscono che Lazarus si avvicina attivamente ai propri obiettivi tramite LinkedIn, una tattica documentata per il gruppo.

Lazarus: come funziona l’attacco del gruppo hacker

Gli hacker chiedono ai candidati di trovare un bug in un'applicazione di gestione password, inviare la correzione e condividere uno screenshot come prova del lavoro. Il file README del progetto chiede alla vittima di eseguire l'applicazione dannosa di gestione delle password ('PasswordManager.py') sul proprio sistema. Fatto ciò, bisognerà a cercare gli errori e a correggerli. Quel file innesca l'esecuzione di un modulo base64 offuscato nascosto nei file '_init_.py' delle librerie 'pyperclip' e 'pyrebase'. La stringa offuscata è un downloader di malware che contatta un server di comando e controllo (C2) e attende i comandi. Per assicurarsi che i candidati non controllino i file di progetto per codice dannoso o offuscato, il file README richiede che l'attività venga completata rapidamente. Si richiedono cinque minuti per la creazione del progetto, 15 minuti per implementare la correzione e 10 minuti per inviare il risultato finale.

Questo dovrebbe dimostrare l'esperienza dello sviluppatore nel lavorare con progetti Python e GitHub. Tuttavia, l'obiettivo è far sì che la vittima salti qualsiasi controllo di sicurezza che potrebbe rivelare il codice dannoso. ReversingLabs ha trovato prove che la campagna era ancora attiva il 31 luglio e ritiene che sia in corso. Gli sviluppatori di software che ricevono inviti a candidature di lavoro da utenti su LinkedIn o altrove dovrebbero essere cauti sulla possibilità di inganno e tenere in considerazione che i profili che li contattano potrebbero essere falsi. Prima di ricevere l'incarico, gli sviluppatori dovrebbero verificare l'identità dell'altra persona e l’azienda di riferimento. In seguito, il codice fornito dovrebbe essere analizzato attentamente ed eseguito solo in ambienti sicuri come macchine virtuali o applicazioni sandbox.