Недавнее исследование ReversingLabs выявило новую кампанию северокорейской хакерской группы Lazarus, направленную на разработчиков ПО. Хакеры маскируются под рекрутеров крупных финансовых компаний, таких как Capital One, и предлагают кандидатам задания, которые якобы проверяют их профессиональные навыки.
Эти задания содержат вредоносные Python-файлы, которые после выполнения загружают вредоносное ПО на устройство жертвы. Одним из главных компонентов этой схемы является создание чувства срочности, что заставляет разработчиков запускать код без тщательной проверки на безопасность.
Эта кампания является продолжением предыдущих атак, таких как VMConnect, в которой также использовались фальшивые собеседования для распространения вредоносных пакетов Python. Вредоносное ПО, обнаруженное в этих кампаниях, скрыто в файлах Python с кодом Base64, который загружает команды с серверов управления для дальнейших атак.
Схожие атаки были зафиксированы и другими компаниями. Например, в апреле 2024 года специалисты Securonix обнаружили кампанию Dev#Popper, где, помимо Python-файлов, использовались JavaScript-файлы с вредоносным кодом.
Lazarus уже на протяжении нескольких лет активно атакует разработчиков, включая попытки атаковать тайваньского разработчика ПО CyberLink Corp и испанскую аэрокосмическую компанию. Эти атаки стали частью растущей тенденции использования хакерами открытых пакетов и платформ для компрометации инфраструктуры и кода разработчиков.
Эти инциденты подчеркивают уязвимость разработчиков ПО, которые часто остаются вне контроля служб информационной безопасности и представляют привлекательные цели для киберпреступников.