リクルーターを装った北朝鮮のハッカー集団「Lazarus」のメンバーが、Python開発者を餌に、マルウェアを含むパスワード管理製品のコーディングテストプロジェクトを提供している。
この攻撃は、2023年8月に初めて検出された「VMConnectキャンペーン」の一部であり、脅威の主体は、PyPIリポジトリにアップロードされた悪意のあるPythonパッケージでソフトウェア開発者を標的にしている。
このキャンペーンを1年以上追跡しているReversingLabsの報告によると、Lazarusのハッカーは悪意のあるコーディング・プロジェクトをGitHub上でホストしており、被害者はそこでテストを完了する方法が書かれたREADMEファイルを見つける。
この指示は、プロセス全体にプロ意識と正当性、そして緊急性を与えることを意図している。
リバーシング・ラボは、北朝鮮人がキャピタル・ワンのような米国の大手銀行になりすまして求職者を集め、魅力的な雇用パッケージを提供している可能性が高いことを発見した。
被害者の一人から入手したさらなる証拠は、LazarusがLinkedInを介してターゲットに積極的にアプローチしていることを示唆している。
バグを見つける
ハッカーは、パスワード・マネージャー・アプリケーションのバグを見つけ、修正したものを提出し、その証拠としてスクリーンショットを共有するよう候補者に指示する。

ソースはこちら:ReversingLabs
プロジェクトのREADMEファイルは、被害者にまず悪意のあるパスワードマネージャーアプリケーション(’PasswordManager.py’)をシステム上で実行し、それからエラーを探し、修正するよう指示しています。

Source:ReversingLabs
このファイルは、’pyperclip’と’pyrebase’ライブラリの’_init_.py’ファイルに隠された、base64 難読化モジュールの実行をトリガーする。
難読化された文字列はマルウェアのダウンローダーであり、コマンド&コントロール(C2)サーバーに連絡してコマンドを待ち受ける。追加のペイロードを取得し、実行することも可能だ。

ソースはこちら:ReversingLabs
候補者がプロジェクト・ファイルに悪意のあるコードや難読化されたコードが含まれていないかチェックしないように、READMEファイルでは、プロジェクトをビルドするのに5分、修正を実装するのに15分、最終結果を送り返すのに10分というように、タスクを素早く完了させることを要求している。
これは、PythonプロジェクトとGitHubを扱う開発者の専門知識を証明するためのものだが、被害者に悪意のあるコードを明らかにする可能性のあるセキュリティチェックをスキップさせることが目的だ。

Source:ReversingLabs
ReversingLabsは、このキャンペーンが7月31日時点でも有効であった証拠を発見しており、現在も継続中であると考えている。
LinkedInなどのユーザーから求人の招待を受けたソフトウェア開発者は、騙される可能性に注意し、連絡してきたプロフィールが偽物の可能性があることを考慮する必要がある。
仕事を受ける前に、相手の身元を確認し、採用活動が本当に進行中であることを会社に独自に確認するようにしてください。
与えられたコードを時間をかけてスキャンしたり、注意深く確認したりし、仮想マシンやサンドボックス化されたアプリケーションなどの安全な環境でのみ実行する。
Comments