Lazarus Group 使用虚假编码测试传播恶意软件
网络安全研究人员发现了一组新的恶意 Python 包,它们以编码评估为幌子针对软件开发人员。 ReversingLabs 研究员 Karlo Zanki表示:“新的样本被追踪到 GitHub 项目,该项目与之前的针对性攻击有关,这些攻击使用虚假的求职面试来引诱开发人员。” 该活动被认为是正在进行的被命名为 VMConnect 的黑客活动的一部分,该活动于 2023 年 8 月首次曝光。有迹象表明,这是朝鲜支持的 Lazarus Group 所为。 朝鲜黑客组织广泛使用求职面试作为感染媒介,他们要么在 LinkedIn 等网站上接触毫无戒心的开发人员,要么诱骗他们下载恶意软件包作为所谓的技能测试的一部分。 这些软件包已直接发布在 npm 和 PyPI 等公共存储库上,或托管在其控制下的 GitHub 存储库上。 ReversingLabs 表示,它发现了嵌入在合法 PyPI 库(如pyperclip和pyrebase )的修改版本中的恶意代码。 Zanki 表示:“恶意代码存在于 __init__.py 文件及其对应的编译后的 Python 文件(PYC)中,这些文件位于各个模块的 __pycache__ 目录内。” 它以 Base64 编码字符串的形式实现,掩盖了下载器功能,该功能与命令和控制 (C2) 服务器建立联系,以执行作为响应收到的命令。 在软件供应链公司发现的一个编码任务实例中,攻击者试图通过要求求职者在五分钟内构建以 ZIP 文件形式共享的 Python 项目并在接下来的 15 分钟内查找并修复编码缺陷来创造一种虚假的紧迫感。 这使得“攻击者更有可能在未执行任何类型的安全甚至源代码审查的情况下执行该软件包”,Zanki 表示,并补充道,“这确保了此次活动背后的恶意行为者能够在开发人员的系统上执行嵌入的恶意软件。” 上述一些测试声称是针对 Capital One 和 Rookery Capital Limited 等金融机构进行的技术面试,突显攻击者如何冒充该行业的合法公司来完成操作。 目前尚不清楚这些活动的范围有多广,谷歌旗下的 Mandiant 最近也强调,他们会使用 LinkedIn 来搜寻和联系潜在目标。 该公司表示:“在初步聊天对话后,攻击者发送了一个 ZIP 文件,其中包含伪装成 Python 编码挑战的 COVERTCATCH 恶意软件,该恶意软件会下载通过启动代理和启动守护程序持续存在的第二阶段恶意软件来危害用户的 macOS 系统。” 网络安全公司 Genians透露,代号为Konni的朝鲜黑客组织正在加强对俄罗斯和韩国的攻击,通过使用鱼叉式网络钓鱼诱饵来部署 AsyncRAT,并且与代号为CLOUD#REVERSER(又名 puNK-002)的行动有重叠。 其中一些攻击还涉及传播一种名为CURKON的新恶意软件,这是一种 Windows 快捷方式 (LNK) 文件,可用作Lilith RAT的 AutoIt 版本的下载器。 根据 S2W 的说法,该活动已链接到跟踪为 puNK-003 的子集群。 技术报告:https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages 转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/G_KWKOfvr-fR6ru0Hmwh1A 封面来源于网络,如有侵权请联系删除