ReversingLabs 的分析师警告称,朝鲜黑客组织Lazarus 的成员冒充招聘人员,向 Python 开发人员提供据称与开发虚假密码管理器相关的测试任务。
事实上,不存在密码管理器,此类活动仅包含恶意软件。
据研究人员称,这些攻击是 2023 年 8 月发现的VMConnect活动的一部分。
攻击者随后使用上传到 PyPI 存储库的恶意 Python 包来瞄准开发人员。
根据监控这一活动一年多的报告,Lazarus 参与者现在在 GitHub 上发布他们的恶意项目,受害者还可以在其中找到README文件,
其中包含有关如何完成“测试任务”的说明。
此外,说明书的编写方式使一切看起来专业、合法,同时也给人一种紧迫感。
在这种情况下,攻击者冒充美国大型银行,包括第一资本和 Rookery Capital Limited,以吸引候选人的注意力,并可能向他们提供有吸引力的条款和服务包。
受害者告诉研究人员,Lazarus 成员通常通过 LinkedIn 与他们的目标联系。
作为测试,攻击者要求受害者在虚假密码管理器中查找错误,提交解决方案,并提供屏幕截图作为证据。
此“测试任务”的自述文件要求受害者首先在其系统上运行恶意密码管理器应用程序 (PasswordManager.py),然后开始搜索错误并修复它们。
如果用户没有注意到问题并执行了该文件,这将导致执行隐藏在 pyperclip 和 Pyrebase 库的 _init_.py 文件中的混淆的 Base64 模块。
混淆的字符串是恶意软件加载程序,它正在联系其命令和控制服务器并等待进一步的命令。
为了确保用户不会检查项目文件中是否存在恶意软件或混淆代码。
自述文件中的说明指示快速完成任务:
5 分钟构建项目,15 分钟部署补丁,另外 10 分钟发送最终结果将结果文件发送给“招聘人员”。
显然,这一切都是为了证实受害者使用 Python 和 GitHub 项目的经验。
但实际上犯罪黑客只是强迫用户拒绝任何可以检测恶意代码的安全检查。
研究人员指出,该活动自 2024 年 7 月 31 日起一直活跃,至今仍然活跃。
虚假招聘人员编码测试利用恶意 Python 包攻击开发人员 https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages
ReversingLabs 的研究人员发现了新的恶意软件包,据信这些软件包与 VMConnect 活动有关,我们的团队于 2023 年 8 月首次发现了该活动,该活动与朝鲜黑客团队 Lazarus Group 有关。
新样本被追踪到 GitHub 项目,这些项目与之前的针对性攻击有关,这些攻击使用虚假的求职面试来引诱开发人员。
此外,从检测到的样本中收集的信息使我们能够识别出一名受感染的开发人员,并深入了解正在进行的活动,攻击者冒充大型金融服务公司的员工。
以下是我们发现的最新恶意活动的详细说明。
2023 年 8 月,ReversingLabs 发布了两篇研究文章,描述了VMConnect 活动及其与朝鲜 Lazarus 组织的联系。
与 Lazarus 组织的联系基于日本 CERT 进行的研究中收集的信息。正如该团队当时所写的那样:发现了恶意 PyPI 软件包,这些软件包是对流行开源 Python 工具的相当好的模仿。
除了从合法工具中复制的功能外,它们还包含恶意下载器功能,隐藏在代码库中。
发现的样本与日本 CERT 在研究中发现和记录的样本之间的代码相似性支持将该活动归因于朝鲜 APT Lazarus。
所分析样本的关系信息
指示求职者执行恶意代码的 README 文件内容
作为采访任务分发的 PasswordManager 项目的文件层次结构
来自__init__.py文件的Base64 编码的恶意下载程序代码
从__init__.py文件执行 base64 编码的恶意下载程序代码
Python_Skill_Test项目的 README 文件中的紧急消息
Python_Skill_Test档案的内容
配置文件的内容,包括原始 GitHub 存储库的 URL
包含开发人员全名和电子邮件的HEAD文件内容
新发布的包含相同恶意代码的 GitHub 存储库
GitHub 帐户发布新软件包的活动
原文始发于微信公众号(网络研究观):Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论