Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

admin 2024年9月17日16:27:49评论23 views字数 1857阅读6分11秒阅读模式

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

ReversingLabs 的分析师警告称,朝鲜黑客组织Lazarus 的成员冒充招聘人员,向 Python 开发人员提供据称与开发虚假密码管理器相关的测试任务。

事实上,不存在密码管理器,此类活动仅包含恶意软件。

据研究人员称,这些攻击是 2023 年 8 月发现的VMConnect活动的一部分。

攻击者随后使用上传到 PyPI 存储库的恶意 Python 包来瞄准开发人员。

根据监控这一活动一年多的报告,Lazarus 参与者现在在 GitHub 上发布他们的恶意项目,受害者还可以在其中找到README文件,

其中包含有关如何完成“测试任务”的说明。

此外,说明书的编写方式使一切看起来专业、合法,同时也给人一种紧迫感。

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

在这种情况下,攻击者冒充美国大型银行,包括第一资本和 Rookery Capital Limited,以吸引候选人的注意力,并可能向他们提供有吸引力的条款和服务包。

受害者告诉研究人员,Lazarus 成员通常通过 LinkedIn 与他们的目标联系。

作为测试,攻击者要求受害者在虚假密码管理器中查找错误,提交解决方案,并提供屏幕截图作为证据。

此“测试任务”的自述文件要求受害者首先在其系统上运行恶意密码管理器应用程序 (PasswordManager.py),然后开始搜索错误并修复它们。

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

如果用户没有注意到问题并执行了该文件,这将导致执行隐藏在 pyperclip 和 Pyrebase 库的 _init_.py 文件中的混淆的 Base64 模块。

混淆的字符串是恶意软件加载程序,它正在联系其命令和控制服务器并等待进一步的命令。

为了确保用户不会检查项目文件中是否存在恶意软件或混淆代码。

自述文件中的说明指示快速完成任务:

5 分钟构建项目,15 分钟部署补丁,另外 10 分钟发送最终结果将结果文件发送给“招聘人员”。

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

显然,这一切都是为了证实受害者使用 Python 和 GitHub 项目的经验。

但实际上犯罪黑客只是强迫用户拒绝任何可以检测恶意代码的安全检查。

研究人员指出,该活动自 2024 年 7 月 31 日起一直活跃,至今仍然活跃。

威胁研究|2024 年 9 月 10 日
虚假招聘人员编码测试利用恶意 Python 包攻击开发人员
RL 发现 VMConnect 活动仍在继续,恶意行为者冒充招聘人员,使用包裹和金融公司的名称来引诱开发人员。
虚假招聘人员编码测试利用恶意 Python 包攻击开发人员 https://www.reversinglabs.com/blog/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages

ReversingLabs 的研究人员发现了新的恶意软件包,据信这些软件包与 VMConnect 活动有关,我们的团队于 2023 年 8 月首次发现了该活动,该活动与朝鲜黑客团队 Lazarus Group 有关。

新样本被追踪到 GitHub 项目,这些项目与之前的针对性攻击有关,这些攻击使用虚假的求职面试来引诱开发人员。

此外,从检测到的样本中收集的信息使我们能够识别出一名受感染的开发人员,并深入了解正在进行的活动,攻击者冒充大型金融服务公司的员工。

以下是我们发现的最新恶意活动的详细说明。

2023 年 8 月,ReversingLabs 发布了两篇研究文章,描述了VMConnect 活动及其与朝鲜 Lazarus 组织的联系。

与 Lazarus 组织的联系基于日本 CERT 进行的研究中收集的信息。正如该团队当时所写的那样:发现了恶意 PyPI 软件包,这些软件包是对流行开源 Python 工具的相当好的模仿。

除了从合法工具中复制的功能外,它们还包含恶意下载器功能,隐藏在代码库中。

发现的样本与日本 CERT 在研究中发现和记录的样本之间的代码相似性支持将该活动归因于朝鲜 APT Lazarus。 

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

所分析样本的关系信息

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

指示求职者执行恶意代码的 README 文件内容

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

作为采访任务分发的 PasswordManager 项目的文件层次结构

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

来自__init__.py文件的Base64 编码的恶意下载程序代码

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

从__init__.py文件执行 base64 编码的恶意下载程序代码

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

Python_Skill_Test项目的 README 文件中的紧急消息

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

Python_Skill_Test档案的内容

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

配置文件的内容,包括原始 GitHub 存储库的 URL

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

包含开发人员全名和电子邮件的HEAD文件内容

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

新发布的包含相同恶意代码的 GitHub 存储库

Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

GitHub 帐户发布新软件包的活动

原文始发于微信公众号(网络研究观):Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月17日16:27:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Lazarus 黑客冒充招聘人员并欺骗 Python 开发人员https://cn-sec.com/archives/3172974.html

发表评论

匿名网友 填写信息