Pesquisadores de cibersegurança descobriram um novo conjunto de pacotes Python maliciosos que visam desenvolvedores de software sob o pretexto de avaliações de codificação.
"As novas amostras foram rastreadas até projetos no GitHub que foram vinculados a ataques direcionados anteriores, nos quais os desenvolvedores são atraídos usando falsas entrevistas de emprego", disse o pesquisador da ReversingLabs, Karlo Zanki.
A atividade foi avaliada como parte de uma campanha em andamento denominada VMConnect que veio à tona pela primeira vez em agosto de 2023.
Há indicações de que é obra do Grupo Lazarus, apoiado pela Coreia do Norte.
O uso de entrevistas de emprego como vetor de infecção tem sido amplamente adotado por atores de ameaças norte-coreanos, abordando desenvolvedores desavisados em sites como LinkedIn ou enganando-os para baixar pacotes fraudulentos como parte de um suposto teste de habilidades.
Esses pacotes, por sua vez, têm sido publicados diretamente em repositórios públicos como npm e PyPI, ou hospedados em repositórios GitHub sob seu controle.
A ReversingLabs disse que identificou código malicioso embutido em versões modificadas de bibliotecas PyPI legítimas como pyperclip e pyrebase.
"O código malicioso está presente tanto no arquivo __init__.py quanto em seu correspondente arquivo Python compilado (PYC) dentro do diretório __pycache__ dos respectivos módulos", disse Zanki.
É implementado na forma de uma string codificada em Base64 que obscurece uma função de downloader que estabelece contato com um servidor de comando e controle (C2) para executar comandos recebidos como resposta.
Em um exemplo de atribuição de codificação identificado pela empresa de cadeia de suprimentos de software, os atores da ameaça procuraram criar uma falsa sensação de urgência, exigindo que os candidatos a emprego construíssem um projeto Python compartilhado na forma de um arquivo ZIP dentro de cinco minutos e encontrassem e corrigissem um erro de codificação nos próximos 15 minutos.
Isso torna "mais provável que ele ou ela execute o pacote sem realizar nenhum tipo de revisão de segurança ou mesmo de código-fonte primeiro", disse Zanki, acrescentando "isso garante que os atores maliciosos por trás dessa campanha executem o malware embutido no sistema do desenvolvedor".
Alguns dos testes mencionados alegavam ser uma entrevista técnica para instituições financeiras como Capital One e Rookery Capital Limited, sublinhando como os atores de ameaças estão se passando por empresas legítimas do setor para realizar a operação.
Atualmente, não está claro quão disseminadas essas campanhas estão, embora os alvos em potencial sejam sondados e contatados usando o LinkedIn, como recentemente também destacado pela Mandiant, de propriedade do Google.
"Após uma conversa inicial no chat, o atacante enviou um arquivo ZIP que continha o malware COVERTCATCH disfarçado de um desafio de codificação Python, que comprometeu o sistema macOS do usuário baixando um malware de segundo estágio que persistiu via Launch Agents e Launch Daemons", disse a empresa.
O desenvolvimento acontece enquanto a empresa de cibersegurança Genians revelou que o ator de ameaça norte-coreano codinome Konni está intensificando seus ataques contra Rússia e Coreia do Sul empregando iscas de spear-phishing que levam à implementação do AsyncRAT, com sobreposições identificadas com uma campanha codinome CLOUD#REVERSER (aka puNK-002).
Alguns desses ataques também envolvem a propagação de um novo malware chamado CURKON, um arquivo de atalho do Windows (LNK) que serve como um downloader para uma versão AutoIt do Lilith RAT.
A atividade foi vinculada a um subcluster rastreado como puNK-003, por S2W.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...