Fake password manager coding test used to hack Python developers

リクルーターを装った北朝鮮のハッカー集団「Lazarus」のメンバーが、Python開発者を餌に、マルウェアを含むパスワード管理製品のコーディングテストプロジェクトを提供している。

この攻撃は、2023年8月に初めて検出された「VMConnectキャンペーン」の一部であり、脅威の主体は、PyPIリポジトリにアップロードされた悪意のあるPythonパッケージでソフトウェア開発者を標的にしている。

このキャンペーンを1年以上追跡しているReversingLabsの報告によると、Lazarusのハッカーは悪意のあるコーディング・プロジェクトをGitHub上でホストしており、被害者はそこでテストを完了する方法が書かれたREADMEファイルを見つける。

この指示は、プロセス全体にプロ意識と正当性、そして緊急性を与えることを意図している。

リバーシング・ラボは、北朝鮮人がキャピタル・ワンのような米国の大手銀行になりすまして求職者を集め、魅力的な雇用パッケージを提供している可能性が高いことを発見した。

被害者の一人から入手したさらなる証拠は、LazarusがLinkedInを介してターゲットに積極的にアプローチしていることを示唆している。

バグを見つける

ハッカーは、パスワード・マネージャー・アプリケーションのバグを見つけ、修正したものを提出し、その証拠としてスクリーンショットを共有するよう候補者に指示する。

The project files
プロジェクトファイル
ソースはこちら:ReversingLabs

プロジェクトのREADMEファイルは、被害者にまず悪意のあるパスワードマネージャーアプリケーション(’PasswordManager.py’)をシステム上で実行し、それからエラーを探し、修正するよう指示しています。

README file with the project instructions
プロジェクトの指示を含むREADMEファイル
Source:ReversingLabs

このファイルは、’pyperclip’と’pyrebase’ライブラリの’_init_.py’ファイルに隠された、base64 難読化モジュールの実行をトリガーする。

難読化された文字列はマルウェアのダウンローダーであり、コマンド&コントロール(C2)サーバーに連絡してコマンドを待ち受ける。追加のペイロードを取得し、実行することも可能だ。

The base64 obfuscated string
base64 難読化文字列
ソースはこちら:ReversingLabs

候補者がプロジェクト・ファイルに悪意のあるコードや難読化されたコードが含まれていないかチェックしないように、READMEファイルでは、プロジェクトをビルドするのに5分、修正を実装するのに15分、最終結果を送り返すのに10分というように、タスクを素早く完了させることを要求している。

これは、PythonプロジェクトとGitHubを扱う開発者の専門知識を証明するためのものだが、被害者に悪意のあるコードを明らかにする可能性のあるセキュリティチェックをスキップさせることが目的だ。

Introducing a pressing time factor
候補者に差し迫った時間的要因を導入
Source:ReversingLabs

ReversingLabsは、このキャンペーンが7月31日時点でも有効であった証拠を発見しており、現在も継続中であると考えている。

LinkedInなどのユーザーから求人の招待を受けたソフトウェア開発者は、騙される可能性に注意し、連絡してきたプロフィールが偽物の可能性があることを考慮する必要がある。

仕事を受ける前に、相手の身元を確認し、採用活動が本当に進行中であることを会社に独自に確認するようにしてください。

与えられたコードを時間をかけてスキャンしたり、注意深く確認したりし、仮想マシンやサンドボックス化されたアプリケーションなどの安全な環境でのみ実行する。