在虚假的工作面试中,朝鲜黑客冒充金融公司的招聘人员,引诱开发者在他们的计算机上执行带有木马的Python项目。
恶意软件包被上传到PyPi和npm等公共注册表,APT(高级持续性威胁)组织试图渗透到流行项目中并提交恶意代码。最近还有假招聘活动,诱骗开发者在机器上部署带有恶意代码的存储库作为编程测试的一部分。
最新的此类活动是由ReversingLabs(一家软件供应链安全公司)的研究人员发现的,涉及隐藏在编译后的Python文件(PYC)中的恶意代码,这是虚假招聘项目中给求职者的一个假测试项目。研究人员发现了其与去年的一次旧攻击的关联,并归因于朝鲜主要的国营黑客团队——“Lazarus集团”。
这种社会工程诱饵和恶意软件分发技术与朝鲜的另一次攻击活动非常相似,最初是由Securonix(安全分析公司)的研究人员在4月份报告的。
在那一次活动中,假招聘人员要求开发者在他们的机器上部署包含被木马感染的Node.js项目的存储库。不难预见,同一批攻击者会使用不同的编程语言创建其他有毒项目,以吸引更多的面试候选人。
ReversingLabs研究人员在报告中表示,“新样本被跟踪到GitHub项目,这些项目与以前的针对性攻击有关,在这些攻击中,开发人员使用虚假的工作面试来引诱开发者。此外,从检测到的样本中收集的信息使我们能够识别出一名被入侵的开发者,并让我们了解到攻击者冒充大型金融服务公司的员工所进行的活动。”
ReversingLabs的研究人员从上传到该公司情报平台的新样本开始展开调查,这些样本与日本CERT(计算机安全应急响应组)为另一次涉及恶意软件包上传到Python Package Index (PyPI)的活动创建的YARA威胁狩猎规则(网络安全领域中一种主动识别攻击迹象的方法)相匹配。
从这些样本入手,研究人员确定它们是名为Python_Skill_Assessment.zip的压缩文件的一部分。该压缩文件还包含一个名为README的文件,其中描述了该压缩文件的内容,称其为一个完全功能的Python编写的密码管理器,几乎包含了此类应用程序应有的所有功能。
![Python开发者在虚假招聘中被恶意软件攻击]( "Python开发者在虚假招聘中被恶意软件攻击")
README 文件还有一个名为“给求职者的说明”的部分,要求他们首先确保该软件包在自己的系统上成功运行,然后为该项目开发密码备份功能。这些说明让研究人员清楚地了解到,这些软件包是作为求职者面试的一部分的社会工程攻击中的编码测试。
研究人员随后又发现了另一个名为Python_Skill_Test.zip的文件,它有一个不同的README文件,将其标记为Capital One Technical Interview的一部分,并要求候选人构建项目、找到并修复一个漏洞,然后重新构建项目并展示结果。所有步骤都有时间限制,给候选人造成了紧迫感,而构建项目的指令确保隐藏在里面的恶意软件会在他们的系统上执行。
研究人员还发现了一个名为RookeryCapital_PythonTest.zip的样本。Capital One和Rookery Capital都是金融公司,这表明攻击者假扮成这些公司以及其他金融公司的招聘人员。当研究人员成功地从一个配置文件中识别出一名受害者时,这一推测得到了证实。这名受害者是来自俄罗斯的一名开发人员,他表示自己在1月份在LinkedIn上被一名招聘人员联系,该人员自称来自Capital One。
“在与ReversingLabs的电子邮件交流中,他表示自己是从LinkedIn的个人资料中收到的联系信息,并被提供了一个GitHub存储库的链接作为‘家庭作业’,”研究人员说。开发者被要求“找出漏洞”、解决它并推送解决该漏洞的更改。当更改被推送后,假招聘人员要求他发送已修复漏洞的截图——以确保开发者在自己的机器上执行了该项目。
与Securonix报告的类似Node.js攻击相比,这一次,攻击者将恶意代码存储在Python字节码(PYC)文件中。这种文件以二进制格式存储,而不是像典型的源代码文件那样以纯文本格式存储,这使得恶意软件更难被发现。
PYC文件是在Python解释器导入或执行Python脚本时生成和缓存的。由于它们已经是编译后的代码,因此可以直接由Python解释器执行,而无需重新编译原始脚本。这有助于提高性能,因为执行速度更快,最常用的用途是分发Python模块。攻击者以前曾使用PYC文件来隐藏恶意代码。
在此次特定的攻击活动中,恶意代码被进一步编码为Base64格式,并通过HTTP访问命令和控制服务器,执行从该服务器接收到的Python命令,充当恶意软件下载器。
根据ReversingLabs的说法,该代码与2023年8月发现的另一起攻击活动中的样本相同,该活动涉及将假冒的软件包上传到PyPI,并假冒流行模块,其中包括一个名为VMConnect的模块。
“此类利用开源包和平台针对开发人员的攻击,在高级网络犯罪分子和国家支持的团体中呈现日益增长的趋势。”研究人员表示,“据信为此次攻击幕后黑手的朝鲜Lazarus集团是此类威胁如何运作的一个很好的例子。Lazarus是一个高级且非常活跃的威胁行为者,专注于通过金融收益和加密货币盗窃来为朝鲜政府谋利。”
此外,Lazarus集团以进行软件供应链攻击而闻名,在这类攻击中,该组织入侵软件开发公司,并将其软件安装程序植入恶意代码。开发者的计算机通常可以通过SSH密钥和其他存储的凭据访问开发基础设施,这使其成为高价值目标。
可以肯定的是,并非所有响应招聘邀请的开发人员都失业了,他们中的一些人可能已在职,同时正在寻找更好的机会。组织应确保可以访问其开发基础设施和源代码的计算机(无论是属于员工还是外部承包商)受到充分监控,并具有强大的访问控制。
来源|CSO、Reversinglabs
编译|郑惠敏
审核|张羽翔
上海赛博网络安全产业创新研究院(简称赛博研究院),是上海市级民办非企业机构,成立至今,赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。赛博研究院立足上海服务全国,是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构,同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能,并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。
欢迎联络咨询:邮件:[email protected];电话:021-61432693。
原文始发于微信公众号(赛博研究院):Python开发者在虚假招聘中被恶意软件攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3190091.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论