Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes Python maliciosos dirigidos a desarrolladores de software con el pretexto de evaluaciones de codificación.
“Las nuevas muestras se rastrearon en proyectos de GitHub que se han relacionado con ataques dirigidos anteriores en los que los desarrolladores son atraídos mediante entrevistas de trabajo falsas”, dijo Karlo Zanki, investigador de ReversingLabs. dicho.
Esta actividad ha sido evaluada como parte de una campaña en curso llamada VMConnect, que se reveló por primera vez en agosto de 2023. Hay indicios de que es trabajo del Grupo Lazarus, respaldado por Corea del Norte.
El uso de entrevistas de trabajo como vector de infección ha sido ampliamente adoptado por los actores de amenazas norcoreanos, ya sea contactando a desarrolladores desprevenidos en sitios como LinkedIn o engañándolos para que carguen paquetes maliciosos en la parte de una llamada prueba de habilidades.
Estos paquetes, a su vez, se publicaron directamente en repositorios públicos como npm y PyPI, o se alojaron en repositorios de GitHub bajo su control.
ReversingLabs dijo que identificó código malicioso incrustado en versiones modificadas de bibliotecas PyPI legítimas, como clipper Y pirobase.
“El código malicioso está presente tanto en el archivo __init__.py como en su correspondiente archivo Python compilado (PYC) en el directorio __pycache__ de los módulos respectivos”, dijo Zanki.
Se implementa como una cadena codificada en Base64 que oculta una función de descarga que establece contacto con un servidor de comando y control (C2) para ejecutar los comandos recibidos en respuesta.
En un caso de asignación de codificación identificado por la empresa de la cadena de suministro de software, los actores de amenazas intentaron crear una falsa sensación de urgencia al exigir a los solicitantes de empleo que crearan un proyecto Python compartido como un archivo ZIP en cinco minutos y encontraran y corrigieran una falla de codificación en el siguiente. 15 minutos.
“Esto hace que sea más probable que él o ella ejecute el paquete sin realizar primero ningún tipo de verificación de seguridad o incluso verificación del código fuente”, dijo Zanki, y agregó que “esto asegura a los malos actores detrás de esta campaña que el software malicioso integrado será ejecutado en el sistema del desarrollador. »
Algunas de las pruebas mencionadas pretendían ser una entrevista técnica para instituciones financieras como Capital One y Rookery Capital Limited, destacando cómo los actores de amenazas se hacen pasar por empresas legítimas de la industria para llevar a cabo la operación.
Aún no está claro qué tan extendidas están estas campañas, aunque se exploran y contactan objetivos potenciales a través de LinkedIn, como destacó recientemente Mandiant, propiedad de Google.
“Después de una conversación de chat inicial, el atacante envió un archivo ZIP que contenía malware COVERTCATCH disfrazado como un desafío de codificación Python, que comprometió el sistema macOS del usuario al descargar malware de segunda etapa que persistió durante el lanzamiento de los agentes y los demonios de lanzamiento”, dijo la compañía.
Este desarrollo se produce cuando la empresa de ciberseguridad Genians reveló que el actor de amenazas norcoreano llamado Konni está intensificando los ataques contra Rusia y Corea del Sur utilizando señuelos de phishing que conducen al despliegue de AsyncRAT, con superposiciones identificadas con una campaña llamada CLOUD#REVERSER (también conocida como puNK-002).
Algunos de estos ataques también implican la propagación de un nuevo malware llamado CURCÓNun archivo de acceso directo de Windows (LNK) que sirve como descargador de una versión AutoIt de Lilith RAT. La actividad se vinculó a un subgrupo rastreado como puNK-003, por S2W.