Исследователи кибербезопасности из ReversingLabs обнаружили пакеты вредоносного программного обеспечения, связанные с кампанией под названием VMConnect, которая, как полагают, была организована северокорейской хакерской группой Lazarus Group. Кампания, впервые выявленная в августе 2023 года, использует поддельные собеседования, чтобы заманить разработчиков на загрузку и выполнение вредоносного кода.
Последние образцы были отслежены до проектов GitHub, связанных с предыдущими целевыми атаками. Исследователям удалось идентифицировать одного скомпрометированного разработчика и получить сведения о текущей кампании, в которой злоумышленники выдают себя за сотрудников крупных финансовых компаний.
К обнаружению привели рабочие процессы ReversingLabs по поиску угроз, включающие непрерывный мониторинг ранее выявленных угроз. Правило YARA, созданное Japan CERT и связанное с кампанией VMConnect, совпало с несколькими образцами, загруженными на платформу Spectra Intelligence компании ReversingLabs в июне 2024 года.
Вредоносный код был обнаружен скрытым в скомпилированных файлах Python, что усложняло его обнаружение. Пакеты были замаскированы под тесты навыков кодирования, связанные с собеседованиями при приеме на работу, с названиями «Python_Skill_Assessment.zip» и «Python_Skill_Test.zip».
Инструкции в файлах README предлагали кандидатам на работу найти и исправить ошибку в приложении-менеджере паролей, обеспечивая выполнение вредоносной программы независимо от того, будет ли задание выполнено. Вредоносный код содержался в измененных модулях pyperclip и pyrebase, присутствующих как в файле __init__.py, так и в соответствующем скомпилированном Python-файле.
Исследователи обнаружили улики, указывающие на вероятных жертв кампании. Один из пакетов показал, что злоумышленники выдавали себя за Capital One, крупную американскую финансовую компанию. Другой архив был назван «RookeryCapital_PythonTest.zip», что указывает на название другой финансовой компании.
Анализ папки .git в одном из обнаруженных архивов позволил идентифицировать целевого разработчика. Разработчик подтвердил, что стал жертвой злоумышленника, выдававшего себя за рекрутера из Capital One, в январе 2024 года.
Несмотря на то что некоторые из этих атак были совершены более полугода назад, есть свидетельства того, что кампания продолжается. 31 июля 2024 года был обнаружен новый опубликованный репозиторий GitHub под названием «testing», практически идентичный предыдущим архивам и содержащий тот же вредоносный код.
Корреляция между публикацией нового проекта и контактом ReversingLabs со скомпрометированным разработчиком позволяет предположить, что у злоумышленника все еще есть доступ к системе разработчика.
Эта кампания является частью растущей тенденции среди изощренных киберпреступных и государственных групп, использующих предложение фиктивных собеседований и использование пакетов и платформ с открытым исходным кодом для нападения на разработчиков. Организациям рекомендуется быть бдительными в отношении таких загрузок и информировать своих сотрудников о рисках, связанных с выполнением кода из неизвестных источников.
23Дефект конфиденциальности в WhatsApp, мессенджере с более чем 2 миллиардами пользователей по всему миру, используется злоумышленниками для обхода функции «Просмотреть один раз» приложения и повторного просмотра сообщений.
35Новый вариант мошенничества, связанного с секстортом, теперь нацелен на супругов, которые утверждают, что их муж или жена изменяет им, и предоставляют ссылки на предполагаемые доказательства.
38Transport for London, городское агентство общественного транспорта, сообщило сегодня, что его сотрудники ограничили доступ к системам и электронной почте в связи с мерами, принятыми в ответ на воскресную кибератаку.
36Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии