Експерти з кібербезпеки ReversingLabs виявили нову небезпечну схему атак північнокорейської хакерської групи Lazarus. Зловмисники маскуються під рекрутерів та пропонують Python-розробникам пройти тестові завдання, нібито пов’язані з розробкою менеджера паролів. Насправді ж, ці завдання містять шкідливе програмне забезпечення, спрямоване на компрометацію систем жертв.
Еволюція кампанії VMConnect
Аналітики ReversingLabs відстежують цю кампанію, відому як VMConnect, вже понад рік. Спочатку, в серпні 2023 року, хакери атакували розробників через вредоносні пакети Python, завантажені в репозиторій PyPI. Тепер тактика змінилася – Lazarus розміщує шкідливі проекти на платформі GitHub, де жертви можуть знайти файли README з інструкціями щодо виконання “тестового завдання”.
Маскування під відомі компанії
Щоб привернути увагу потенційних жертв, хакери видають себе за великі американські банки, зокрема Capital One та Rookery Capital Limited. Вони пропонують привабливі умови праці та зазвичай контактують з цілями через LinkedIn. Така стратегія допомагає зловмисникам створити видимість легітимності та професіоналізму.
Механізм атаки
Тестове завдання полягає в пошуку помилки у фейковому менеджері паролів. Жертвам пропонується запустити файл PasswordManager.py, який насправді активує приховану шкідливу програму. Обфускований base64-модуль, захований у файлах _init_.py бібліотек pyperclip та pyrebase, містить завантажувач малварі, що зв’язується з командним сервером хакерів.
Психологічні прийоми зловмисників
Щоб запобігти виявленню шкідливого коду, хакери створюють атмосферу терміновості. Вони встановлюють жорсткі часові рамки: 5 хвилин на збірку проекту, 15 хвилин на впровадження патчу і 10 хвилин на відправку результату. Це змушує жертв діяти швидко, нехтуючи перевірками безпеки.
Поточний статус загрози
За даними ReversingLabs, кампанія VMConnect залишається активною з 31 липня 2024 року і до теперішнього часу. Це підкреслює необхідність постійної пильності з боку розробників та компаній, які займаються наймом IT-фахівців.
Ця витончена атака демонструє зростаючу складність кіберзагроз та важливість комплексного підходу до безпеки. Розробникам рекомендується бути особливо обережними при розгляді пропозицій про роботу та виконанні тестових завдань. Компаніям варто посилити перевірку потенційних співробітників та забезпечити надійний захист своїх систем від можливих вторгнень через ланцюжок поставок програмного забезпечення.