Cybersicherheitsexperten von ReversingLabs haben eine raffinierte Angriffskampagne der nordkoreanischen Hackergruppe Lazarus aufgedeckt. Die Angreifer geben sich als Recruiter aus und locken Python-Entwickler mit vermeintlichen Jobangeboten in eine Malware-Falle. Diese Taktik ist Teil der seit August 2023 laufenden VMConnect-Kampagne und stellt eine signifikante Bedrohung für die IT-Branche dar.
Modus Operandi: Gefälschte Stellenangebote und GitHub-Projekte
Die Hacker kontaktieren ihre Opfer vorwiegend über LinkedIn und geben sich als Vertreter renommierter US-Banken wie Capital One aus. Sie präsentieren attraktive Jobangebote und fordern die Kandidaten auf, ein vermeintliches Testprojekt zu bearbeiten. Dieses Projekt, angeblich ein Passwort-Manager, wird auf GitHub gehostet und enthält detaillierte README-Anweisungen, die professionell und dringend wirken.
Zeitdruck als psychologisches Druckmittel
Um die Opfer zur schnellen und unvorsichtigen Ausführung des Schadcodes zu bewegen, setzen die Angreifer auf Zeitdruck. Die Anweisungen geben vor, dass das gesamte Projekt innerhalb von 30 Minuten abgeschlossen werden muss – 5 Minuten für den Build, 15 Minuten für das Patchen und 10 Minuten für die Einreichung. Dieser künstliche Zeitdruck soll verhindern, dass die Entwickler den Code genauer untersuchen.
Technische Details der Malware-Infektion
Der eigentliche Schadcode verbirgt sich in obfuskiertem Base64-Code innerhalb der _init_.py-Dateien der Bibliotheken pyperclip und pyrebase. Wird die Hauptdatei PasswordManager.py ausgeführt, aktiviert sie einen Malware-Loader, der sich mit einem Command-and-Control-Server verbindet und auf weitere Befehle wartet.
Verschleierungstaktiken der Angreifer
Die Lazarus-Gruppe setzt auf mehrere Tarnungsmethoden:
- Nutzung legitim erscheinender GitHub-Projekte
- Professionell gestaltete README-Dateien
- Vortäuschung renommierter Unternehmen
- Ausnutzung von Zeitdruck zur Vermeidung von Sicherheitsprüfungen
Implikationen für die Cybersicherheit
Diese Kampagne unterstreicht die zunehmende Sophistikation von Cyberangriffen. Sie zielt gezielt auf hochqualifizierte IT-Fachkräfte ab und nutzt deren Fachwissen und Ambitionen aus. Unternehmen und Entwickler müssen ihre Sicherheitsmaßnahmen verstärken, insbesondere bei der Überprüfung von externen Codequellen und bei Einstellungsprozessen.
Um sich vor solchen Angriffen zu schützen, sollten Entwickler stets wachsam sein, auch bei scheinbar legitimen Jobangeboten. Eine gründliche Überprüfung von Projektcode, selbst unter Zeitdruck, ist unerlässlich. Unternehmen sollten ihre Mitarbeiter regelmäßig in Bezug auf solche raffinierten Phishing-Taktiken schulen und robuste Sicherheitsprotokolle für Einstellungsverfahren implementieren. Die Cybersicherheitsgemeinschaft muss weiterhin wachsam bleiben und Informationen über neue Angriffsvektoren austauschen, um die Resilienz gegen solch ausgeklügelte Bedrohungen zu stärken.
