Según ReversingLabs, se ha observado que Lazarus Group continúa su
campaña VMConnect
dirigiéndose a los desarrolladores con nuevos paquetes de software malicioso
en repositorios de código abierto.
Los investigadores dijeron que el grupo norcoreano utiliza entrevistas de
trabajo falsas para atraer a los desarrolladores a descargar el malware. Los atacantes se hicieron pasar por personal de la empresa estadounidense de
servicios financieros Capital One para enviar a los desarrolladores paquetes
de «prueba» a través de enlaces en mensajes directos de LinkedIn en la campaña
observada recientemente.
Estos enlaces llevaron los objetivos al repositorio de GitHub como una
«tarea». Los archivos en el repositorio pretendían ser pruebas de habilidades
de codificación vinculadas a entrevistas de trabajo. Por ejemplo, los
investigadores observaron archivos con nombres como
Python_Skill_Assessment.zip y Python_Skill_Test.zip.
El proyecto malicioso se presenta como una prueba de código para un gestor de
contraseñas. Los desarrolladores reciben instrucciones para:
- Ejecutar la aplicación ‘PasswordManager.py’ en sus sistemas.
- Encontrar y corregir un error en el código.
- Enviar la corrección junto con una captura de pantalla como prueba.
Los archivos contenían un archivo README con instrucciones para el
desarrollador, con un plazo establecido para completar la tarea. «Está claramente destinado a crear una sensación de urgencia para el
posible solicitante de empleo, lo que hace más probable que ejecute el
paquete sin realizar ningún tipo de seguridad o incluso revisión del
código fuente primero. Eso garantiza a los actores maliciosos detrás de
esta campaña que el malware incrustado se ejecutará en el sistema del
desarrollador», dijeron los investigadores.
El contenido de los archivos README incluidos con los paquetes contenía
instrucciones para que los candidatos al puesto encontraran y corrigieran un
error en una aplicación de administrador de contraseñas, republicaran su
solución y tomaran capturas de pantalla para documentar su trabajo de
codificación.
Se cree que la nueva actividad está vinculada a la campaña VMConnect que se
identificó por primera vez en agosto de 2023. La campaña inicial se
descubrió en el repositorio de código abierto Python Package Index (PyPI) e
implicó la publicación continua de nuevos paquetes PyPI maliciosos
diariamente.
En septiembre de 2023,
ReversingLabs descubrió tres paquetes adicionales de Python que se cree que forman parte de esta campaña
ampliada: tablediter, request-plus y requestpro.
La campaña estaba vinculada al famoso Grupo Lazarus tras una
investigación realizada por el CERT japonés. ReversingLabs también encontró malware oculto en archivos compilados de
Python en la última actividad observada. Esta misma técnica fue
descrita en una
investigación publicada por la Unidad 42 de Palo Alto. Ese informe señaló que los autores de malware también intentaron
convencer a sus objetivos para que descargaran paquetes NPM maliciosos de
los repositorios de GitHub.
El código de malware identificado en la nueva campaña estaba contenido en
módulos pyperclip y pyrebase modificados. El código se
implementó como una cadena codificada en Base64 que oculta el código del
descargador. La funcionalidad maliciosa de este archivo era idéntica a la
observada en las muestras de iteraciones anteriores de la campaña VMConnect.
Los investigadores observaron otros comportamientos similares con el nuevo
conjunto de paquetes, incluido el ataque a desarrolladores de Python además
de npm y Javascript, haciéndose pasar por empresas de servicios financieros
y el uso de entrevistas de trabajo falsas para atraer objetivos.
Si bien esta actividad se remonta a más de seis meses, ReversingLabs dijo
que hay evidencia de que la campaña VMConnect del Grupo Lazarus es una
amenaza activa. Por ejemplo, el 31 de julio, los investigadores encontraron
un repositorio de GitHub recientemente publicado llamado
«testing» que era casi idéntico a los archivos de GitHub anteriores y
contenía el mismo código malicioso.
Los investigadores señalaron que el uso de paquetes y plataformas de código
abierto para atacar a los desarrolladores es una tendencia creciente entre
los grupos cibercriminales sofisticados y los estados-nación.
Se recomienda a las organizaciones que estén atentas a este tipo de
descargas y se aseguren de que los desarrolladores y otro personal técnico
estén informados sobre los peligros de descargar y ejecutar código de una
fuente desconocida en su sistema.
Fuente:
BC
Los comentarios están cerrados.