Эксперты по кибербезопасности из компании ReversingLabs обнаружили новую тактику северокорейской хакерской группы Lazarus, нацеленную на Python-разработчиков. Злоумышленники маскируются под рекрутеров и предлагают соискателям пройти тестовые задания, якобы связанные с разработкой менеджера паролей. На самом деле, эти задания содержат вредоносное ПО, позволяющее хакерам получить доступ к системам жертв.
Эволюция кампании VMConnect
Данные атаки являются частью более масштабной кампании под названием VMConnect, которая была впервые зафиксирована в августе 2023 года. Изначально злоумышленники использовали вредоносные пакеты Python, размещенные в репозитории PyPI. Теперь же они перешли на платформу GitHub, где размещают свои вредоносные проекты и инструкции по выполнению «тестовых заданий».
Методы социальной инженерии
Участники группы Lazarus тщательно продумывают свою легенду, выдавая себя за представителей крупных американских банков, таких как Capital One и Rookery Capital Limited. Это позволяет им привлечь внимание потенциальных жертв и создать впечатление легитимности. Исследователи отмечают, что хакеры часто используют LinkedIn для первичного контакта с целевыми разработчиками.
Структура фиктивного тестового задания
Злоумышленники предлагают жертвам найти и исправить ошибку в фальшивом менеджере паролей. Инструкции, содержащиеся в README-файле проекта, требуют от соискателя выполнить следующие шаги:
- Запустить приложение менеджера паролей (PasswordManager.py) на своей системе
- Обнаружить и исправить предполагаемые баги
- Предоставить скриншоты в качестве подтверждения выполненной работы
Механизм заражения
При запуске вредоносного файла PasswordManager.py активируется обфусцированный base64 модуль, скрытый в файлах _init_.py библиотек pyperclip и pyrebase. Этот модуль представляет собой загрузчик вредоносного ПО, который устанавливает связь с командным сервером хакеров и ожидает дальнейших инструкций.
Тактика избежания обнаружения
Чтобы минимизировать риск обнаружения вредоносного кода, злоумышленники устанавливают жесткие временные рамки для выполнения задания:
- 5 минут на сборку проекта
- 15 минут на внедрение патча
- 10 минут на отправку результата «рекрутеру»
Такой подход вынуждает жертв отказаться от тщательных проверок безопасности, которые могли бы выявить наличие вредоносного кода в проекте.
Специалисты ReversingLabs подчеркивают, что данная кампания остается активной на момент публикации исследования. Это подчеркивает необходимость повышенной бдительности со стороны разработчиков при взаимодействии с незнакомыми проектами и потенциальными работодателями. Рекомендуется тщательно проверять все входящие предложения о работе, особенно если они связаны с выполнением технических заданий на личном компьютере. Использование изолированных сред для тестирования незнакомого кода может значительно снизить риск заражения вредоносным ПО.
