Les membres du groupe de hackers nord-coréen Lazarus se faisant passer pour des recruteurs appâtent les développeurs Python avec un projet de test de codage pour des produits de gestion de mots de passe qui incluent des logiciels malveillants.
Les attaques font partie de la « campagne VMConnect » détectée pour la première fois en août 2023, où les auteurs de la menace ciblaient les développeurs de logiciels avec des packages Python malveillants téléchargés sur le référentiel PyPI.
Selon un rapport de ReversingLabs, qui suit la campagne depuis plus d’un an, les pirates de Lazarus hébergent les projets de codage malveillants sur GitHub, où les victimes trouvent des fichiers LISEZ-MOI avec des instructions sur la façon de terminer le test.
Les directives visent à donner un sentiment de professionnalisme et de légitimité à l’ensemble du processus, ainsi qu’un sentiment d’urgence.
ReversingLabs a constaté que les Nord-Coréens se faisaient passer pour de grandes banques américaines comme Capital One pour attirer des candidats, leur offrant probablement un package d’emploi attrayant.
D’autres preuves récupérées auprès de l’une des victimes suggèrent que Lazarus approche activement leurs cibles sur LinkedIn, une tactique documentée pour le groupe.
Trouver le bogue
Les pirates demandent aux candidats de trouver un bogue dans une application de gestion de mots de passe, de soumettre leur correctif et de partager une capture d’écran comme preuve de leur travail.
Le fichier LISEZ-MOI du projet demande d’abord à la victime d’exécuter l’application malveillante password manager (‘PasswordManager.py’) sur leur système, puis commencez à rechercher les erreurs et à les corriger.
Ce fichier déclenche l’exécution d’un module obscurci base64 caché dans le’init.py’ fichiers des bibliothèques ‘pyperclip’ et ‘pure base’.
La chaîne obscurcie est un téléchargeur de logiciels malveillants qui contacte un serveur de commande et de contrôle (C2) et attend des commandes. La récupération et l’exécution de charges utiles supplémentaires sont dans ses capacités.
Pour s’assurer que les candidats ne vérifieront pas le code malveillant ou obscurci dans les fichiers du projet, le fichier LISEZ-MOI nécessite que la tâche soit terminée rapidement: cinq minutes pour la construction du projet, 15 minutes pour implémenter le correctif et 10 minutes pour renvoyer le résultat final.
Ceci est censé prouver l’expertise du développeur dans le travail avec des projets Python et GitHub, mais le but est de faire sauter à la victime toutes les vérifications de sécurité susceptibles de révéler le code malveillant.
ReversingLabs a trouvé des preuves que la campagne était toujours active le 31 juillet et pense qu’elle est en cours.
Les développeurs de logiciels qui reçoivent des invitations à postuler d’utilisateurs sur LinkedIn ou ailleurs doivent se méfier de la possibilité de tromperie et prendre en considération que les profils qui les contactent pourraient être faux.
Avant de recevoir la mission, essayez de vérifier l’identité de l’autre personne et confirmez de manière indépendante auprès de l’entreprise qu’une ronde de recrutement est effectivement en cours.
Prenez le temps de scanner ou d’examiner attentivement le code donné et de ne l’exécuter que dans des environnements sûrs tels que des machines virtuelles ou des applications de sandboxing.