Pesquisadores de segurança cibernética descobriram um novo conjunto de pacotes Python maliciosos que têm como alvo desenvolvedores de software program sob o pretexto de avaliações de codificação.
“As novas amostras foram rastreadas até projetos do GitHub que foram vinculados a ataques direcionados anteriores, nos quais os desenvolvedores são atraídos por meio de entrevistas de emprego falsas”, disse o pesquisador do ReversingLabs, Karlo Zanki.
A atividade foi avaliada como parte de uma campanha em andamento chamada VMConnect, que veio à tona pela primeira vez em agosto de 2023. Há indícios de que é obra do Lazarus Group, apoiado pela Coreia do Norte.
O uso de entrevistas de emprego como vetor de infecção tem sido amplamente adotado por agentes de ameaças norte-coreanos, seja abordando desenvolvedores desavisados em websites como o LinkedIn ou enganando-os para que baixem pacotes maliciosos como parte de um suposto teste de habilidades.
Esses pacotes, por sua vez, foram publicados diretamente em repositórios públicos como npm e PyPI, ou hospedados em repositórios do GitHub sob seu controle.
A ReversingLabs disse ter identificado código malicioso incorporado em versões modificadas de bibliotecas PyPI legítimas, como pyperclip e pyrebase.
“O código malicioso está presente no arquivo __init__.py e no arquivo Python compilado correspondente (PYC) dentro do diretório __pycache__ dos respectivos módulos”, disse Zanki.
Ele é implementado na forma de uma string codificada em Base64 que oculta uma função de obtain, que estabelece contato com um servidor de comando e controle (C2) para executar comandos recebidos como resposta.
Em um caso de tarefa de codificação identificada pela empresa de cadeia de suprimentos de software program, os agentes da ameaça tentaram criar uma falsa sensação de urgência exigindo que os candidatos criassem um projeto Python compartilhado na forma de um arquivo ZIP em cinco minutos e encontrassem e corrigissem uma falha de codificação nos 15 minutos seguintes.
Isso torna “mais provável que ele ou ela execute o pacote sem realizar nenhum tipo de segurança ou mesmo revisão do código-fonte primeiro”, disse Zanki, acrescentando “isso garante aos agentes maliciosos por trás dessa campanha que o malware incorporado seria executado no sistema do desenvolvedor”.
Alguns dos testes mencionados alegaram ser uma entrevista técnica para instituições financeiras como Capital One e Rookery Capital Restricted, ressaltando como os agentes da ameaça estão se passando por empresas legítimas do setor para realizar a operação.
Atualmente, não está claro o quão disseminadas essas campanhas são, embora alvos em potencial sejam observados e contatados usando o LinkedIn, como também foi destacado recentemente pela Mandiant, de propriedade do Google.
“Após uma conversa inicial, o invasor enviou um arquivo ZIP que continha malware COVERTCATCH disfarçado como um desafio de codificação Python, que comprometeu o sistema macOS do usuário ao baixar um malware de segundo estágio que persistiu por meio de Launch Brokers e Launch Daemons”, disse a empresa.
O desenvolvimento ocorre no momento em que a empresa de segurança cibernética Genians revelou que o agente de ameaças norte-coreano, codinome Konni, está intensificando seus ataques contra a Rússia e a Coreia do Sul, empregando iscas de spear-phishing que levam à implantação do AsyncRAT, com sobreposições identificadas com uma campanha de codinome CLOUD#REVERSER (também conhecido como puNK-002).
Alguns desses ataques também envolvem a propagação de um novo malware chamado CURKON, um arquivo de atalho do Home windows (LNK) que serve como um downloader para uma versão AutoIt do Lilith RAT. A atividade foi vinculada a um subcluster rastreado como puNK-003, por S2W.