Новая кампания фальшивых рекрутеров из Северной Кореи нацелена на разработчиков JavaScript и Python, предлагая задачи, связанные с криптовалютами. Используются вредоносные пакеты в npm и PyPi, устанавливающие RAT. Исследователи связывают кампанию с группой Lazarus. — bleepingcomputer.com
Новая вариация кампании с фальшивыми рекрутерами от северокорейских злоумышленников нацелена на JavaScript- и Python-разработчиков, предлагая им задачи, связанные с криптовалютами.
Эта активность ведется как минимум с мая 2025 года и характеризуется модульностью, что позволяет злоумышленнику быстро возобновить ее в случае частичного компрометации.
Злоумышленник полагается на пакеты, опубликованные в реестрах npm и PyPi, которые действуют как загрузчики для трояна удаленного доступа (RAT). Всего исследователи обнаружили 192 вредоносных пакета, связанных с этой кампанией, которую они назвали ‘Graphalgo’.
Исследователи из компании ReversingLabs, специализирующейся на безопасности цепочек поставок программного обеспечения, сообщают, что злоумышленник создает фальшивые компании в сферах блокчейна и криптотрейдинга и публикует вакансии на различных платформах, таких как LinkedIn, Facebook* и Reddit.
Разработчикам, откликающимся на вакансию, предлагается продемонстрировать свои навыки, запустив, отладив и улучшив предоставленный проект. Однако цель злоумышленника — заставить соискателя запустить код.
Это действие приведет к установке и выполнению вредоносной зависимости из легитимного репозитория.
“Создать такие репозитории с заданиями для соискателей легко. Злоумышленникам просто нужно взять легитимный базовый проект, добавить в него вредоносную зависимость, и он готов к отправке жертвам”, — говорят исследователи.
Чтобы скрыть вредоносную природу зависимостей, хакеры размещают их на легитимных платформах, таких как npm и PyPi.
В одном из случаев, описанных в отчете ReversingLabs, пакет под названием ‘bigmathutils’ с 10 000 загрузок был безвредным до версии 1.1.0, которая внесла вредоносные полезные нагрузки. Вскоре после этого злоумышленник удалил пакет, пометив его как устаревший, вероятно, чтобы скрыть свою деятельность.
Название кампании Graphalgo происходит от пакетов, содержащих слово “graph” в названии. Они обычно выдают себя за легитимные, популярные библиотеки, такие как graphlib, сообщают исследователи.
Однако с декабря 2025 года северокорейский злоумышленник переключился на пакеты с “big” в названии. Тем не менее, ReversingLabs не обнаружила рекрутинговую часть или фронтенд кампании, связанный с ними.
По словам исследователей, злоумышленник использует Github Organizations — общие аккаунты для совместной работы над несколькими проектами. Они отмечают, что репозитории GitHub чисты, а вредоносный код вводится косвенно через зависимости, размещенные на npm и PyPI, которые и являются пакетами Graphalgo.
Жертвы, запускающие проект в соответствии с инструкциями на собеседовании, заражают свои системы этими пакетами, которые устанавливают на их машины RAT-полезную нагрузку.
Стоит отметить, что исследователи ReversingLabs выявили нескольких разработчиков, которые попались на уловку, и связались с ними для получения более подробной информации о процессе подбора персонала.
RAT может перечислять запущенные процессы на хосте, выполнять произвольные команды по инструкциям с сервера управления и контроля (C2), а также извлекать файлы или загружать дополнительные полезные нагрузки.
RAT проверяет, установлено ли в браузере жертвы расширение Meta*Mask для криптовалют, что является явным признаком его целей по краже денег.
Его C2-коммуникация защищена токенами, чтобы блокировать неавторизованных наблюдателей — это распространенная тактика северокорейских хакеров.
ReversingLabs обнаружила несколько вариантов, написанных на JavaScript, Python и VBS, что свидетельствует о намерении охватить все возможные цели.
Исследователи с умеренной или высокой степенью уверенности приписывают кампанию фальшивых рекрутеров Graphalgo группе Lazarus. Этот вывод основан на подходе, использовании тестовых заданий в качестве вектора заражения и нацеленности на криптовалюты, что соответствует предыдущей активности, связанной с северокорейским злоумышленником.
Кроме того, исследователи отмечают задержку в активации вредоносного кода в пакетах, что согласуется с терпением Lazarus, проявленным в других атаках. Наконец, коммиты Git показывают часовой пояс GMT+9, соответствующий времени Северной Кореи.
Полные индикаторы компрометации (IoCs) доступны в исходном отчете. Разработчикам, которые устанавливали вредоносные пакеты в любой момент, следует сменить все токены и пароли учетных записей, а также переустановить свою ОС.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas