Gefälschte Coding-Tests verbreiten Malware
Cybersecurity-Forscher haben eine neue Welle bösartiger Python-Pakete enttarnt, die gezielt Softwareentwickler angreifen – getarnt als harmlose Codierungsprüfungen. Dahinter verbirgt sich die berüchtigte Lazarus-Gruppe, die gefälschte Coding-Tests als raffinierten Trick nutzt, um Malware zu verbreiten.
„Die neuen Muster konnten zu GitHub-Projekten zurückverfolgt werden, die mit früheren gezielten Angriffen in Verbindung stehen, bei denen Entwickler durch gefälschte Bewerbungsgespräche angelockt wurden“, erklärt Karlo Zanki, Sicherheitsexperte bei ReversingLabs. Diese Aktivitäten gehören zu einer laufenden Kampagne namens VMConnect, die im August 2023 aufgedeckt wurde. Es gibt deutliche Hinweise, dass die nordkoreanische Lazarus-Gruppe dahintersteckt.
Nordkoreanische Hacker nutzen häufig gefälschte Bewerbungsgespräche, um mit Entwicklern in Kontakt zu kommen. Sie nähern sich ihren Opfern entweder über Plattformen wie LinkedIn, oder verleiten sie auf andere Weise, bösartige Pakete als vermeintliche Kompetenztests herunterzuladen. Diese Pakete werden auf öffentlichen Plattformen wie npm und PyPI veröffentlicht, oder auf von ihnen kontrollierten GitHub-Repositories gehostet.
ReversingLabs entdeckte schädlichen Code, der in modifizierten Versionen legitimer PyPI-Bibliotheken wie pyperclip und pyrebase versteckt ist. Der Code befindet sich in der Datei init.py und der komprimierten Python-Datei im Verzeichnis pycache der Module.
Er ist als Base64-kodierter String eingebettet, der eine Downloader-Funktion verbirgt, die mit einem Command-and-Control-Server kommuniziert, um Anweisungen auszuführen.
In einem Fall lockten die Angreifer Arbeitssuchende mit einem Codierungsauftrag, der sie drängte, in nur fünf Minuten ein Python-Projekt aus einer bereitgestellten ZIP-Datei zu erstellen und dann innerhalb von 15 Minuten einen Fehler zu beheben. Das Ziel war, die Opfer unter Druck zu setzen, damit sie das Paket ausführen, ohne es auf Sicherheit oder Quellcode zu überprüfen, erklärte Zanki. So stellten die Angreifer sicher, dass ihre Malware auf dem System des Entwicklers ausgeführt wird.
Einige dieser Tests gaben sich als technische Interviews für bekannte Finanzunternehmen wie Capital One oder und Rookery Capital Limited aus, um den Eindruck von Seriosität zu erwecken.
Es ist derzeit unklar, wie weit verbreitet diese Angriffe sind, aber laut Mandiant (ein Unternehmen von Google) werden potenzielle Opfer oft über LinkedIn kontaktiert. In einem Fall schickte der Angreifer nach einem ersten Chat eine ZIP-Datei mit der Malware COVERTCATCH, getarnt als Python-Codierungsaufgabe. Diese Malware infizierte das macOS-System des Nutzers und lud eine zweite Schadsoftware herunter, die sich über Launch Agents und Launch Daemons im System hielt.
Diese Vorfälle treten auf, während das Cybersecurity-Unternehmen Genians berichtet, dass der nordkoreanische Hacker „Konni“ seine Angriffe auf Russland und Südkorea verstärkt. Er nutzt Spear-Phishing-Angriffe, die zur Verbreitung von AsyncRAT führen, mit Überschneidungen zur Kampagne CLOUD#REVERSER (alias puNK-002). Einige dieser Angriffe verbreiten auch eine neue Malware namens CURKON, eine Windows-Verknüpfungsdatei (LNK), die als Downloader für eine AutoIt-Version des Lilith RAT dient. Diese Aktivitäten werden von S2W als Teil eines Sub-Clusters mit dem Codenamen puNK-003 beobachtet.
Weitere Artikel zum Thema:
Lazarus-Gruppe zielt mit gefälschten Bewerbungsgesprächen auf Verteidigungsexperten