Группировка Lazarus маскируется под крупные банки, используя фальшивые вакансии и тестовые задания для заражения систем вредоносным ПО
Хакеры из северокорейской кибергруппировки Lazarus начали новую кампанию, нацеленную на Python-разработчиков. Злоумышленники маскируются под представителей крупных американских банков, таких как Capital One, предлагая потенциальным жертвам пройти срочное тестовое задание. В рамках задания кандидаты должны найти уязвимость в менеджере паролей, однако вместо этого запускают вредоносное ПО на своих системах.
По данным компании ReversingLabs, эта кибератака активна с августа 2023 года и до сих пор может представлять угрозу. Хакеры загружают вредоносные пакеты в популярные репозитории, такие как PyPI, а проекты с «тестовыми заданиями» размещаются на GitHub. Инструкции к проектам включают требования срочности, призывая кандидатов выполнить тест за полчаса. Подобная спешка отвлекает внимание от возможных проверок на наличие вредоносного кода.
Главная цель злоумышленников — заставить программистов запустить файл PasswordManager.py, который содержит скрытый вредоносный модуль, замаскированный под обычные библиотеки. Этот модуль подключается к удаленному серверу и может загружать дополнительные компоненты для взлома системы.
Эксперты по безопасности предупреждают, что такая схема может использоваться для проникновения в корпоративные сети через доверенных сотрудников. Хакеры отслеживают программистов через LinkedIn и предлагают «золотые горы» в виде срочных вакансий, что делает предложение особенно заманчивым для специалистов, ищущих работу.
Специалисты призывают разработчиков проявлять максимальную осторожность, проверяя подлинность работодателей и проектов, особенно если тестовое задание предполагает работу с подозрительными файлами.
Что делают хакеры: