Ερευνητές στον τομέα της κυβερνοασφάλειας έχουν εντοπίσει ένα νέο σύνολο κακόβουλων πακέτων Python που στοχεύουν προγραμματιστές λογισμικού, προσποιούμενα ότι προσφέρουν coding tests.
“Τα νέα δείγματα παρακολουθήθηκαν σε έργα GitHub που σχετίζονται με προηγούμενες στοχευμένες επιθέσεις, όπου οι προγραμματιστές παρασύρονται μέσω ψεύτικων προσφορών εργασίας,” δήλωσε ο ερευνητής της ReversingLabs, Karlo Zanki. Αυτή η δραστηριότητα έχει αξιολογηθεί ως μέρος μιας συνεχιζόμενης κακόβουλης εκστρατείας με την ονομασία VMConnect, η οποία πρωτοεμφανίστηκε τον Αύγουστο του 2023. Υπάρχουν ενδείξεις που τη συνδέουν με το hacking group Lazarus, το οποίο βρίσκεται στη Βόρεια Κορέα.
Δείτε επίσης: Η Mustang Panda χρησιμοποιεί τα PUBLOAD και HIUPAN malware σε επιθέσεις
Η χρήση ψεύτικων προσφορών εργασίας ως μέσο μόλυνσης έχει γίνει ευρέως γνωστή από φορείς απειλών της Βόρειας Κορέας, οι οποίοι προσεγγίζουν ανυποψίαστους προγραμματιστές σε πλατφόρμες όπως το LinkedIn ή τους εξαπατούν να κατεβάσουν ύποπτα πακέτα στο πλαίσιο υποτιθέμενων τεστ δεξιοτήτων .
Αυτά τα πακέτα έχουν δημοσιευτεί απευθείας σε δημόσια αποθετήρια όπως το npm και το PyPI, ή έχουν φιλοξενηθεί σε αποθετήρια GitHub που ελέγχονται από αυτούς.
Η ReversingLabs ανακοίνωσε την ανακάλυψη κακόβουλου κώδικα ενσωματωμένου σε τροποποιημένες εκδόσεις νόμιμων βιβλιοθηκών PyPI, όπως οι pyperclip και pyrebase.
“Ο κακόβουλος κώδικας εντοπίζεται τόσο στο αρχείο init.py όσο και στο αντίστοιχο μεταγλωττισμένο αρχείο Python (PYC) στον κατάλογο pycache των σχετικών λειτουργικών μονάδων,” ανέφερε ο Zanki.
Υλοποιείται ως μια Base64 κωδικοποιημένη συμβολοσειρά που αποκρύπτει μια λειτουργία λήψης. Αυτή η λειτουργία δημιουργεί σύνδεση με έναν διακομιστή εντολών και ελέγχου (C2) για την εκτέλεση εντολών που παραλαμβάνονται ως απάντηση.
Σε μια περίπτωση αποστολής κωδικοποίησης που εντοπίστηκε από μια εταιρεία της αλυσίδας εφοδιασμού λογισμικού, οι φορείς απειλών επιχείρησαν να δημιουργήσουν μια ψευδή αίσθηση επείγοντος, απαιτώντας από τους υποψήφιους εργαζόμενους να παραδώσουν ένα κοινόχρηστο έργο Python σε μορφή αρχείου ZIP εντός πέντε λεπτών και να εντοπίσουν και να διορθώσουν ένα σφάλμα κωδικοποίησης σε διάστημα 15 λεπτών.
Διαβάστε ακόμη: Βορειοκορεάτες hackers διανέμουν το COVERTCATCH malware
Αυτό καθιστά “πιο πιθανό να εκτελέσει το πακέτο χωρίς να έχει προηγηθεί κανένας έλεγχος ασφαλείας ή αξιολόγηση του πηγαίου κώδικα”, δήλωσε ο Zanki, προσθέτοντας ότι “αυτό διασφαλίζει στους κακόβουλους παράγοντες πίσω από αυτο το hacking group, ότι το ενσωματωμένο κακόβουλο λογισμικό θα εκτελείται στο σύστημα του προγραμματιστή.”
Ορισμένες από τις παραπάνω δοκιμές ανέφεραν ότι αποτελούν τεχνικές συνεντεύξεις για χρηματοπιστωτικά ιδρύματα όπως η Capital One και η Rookery Capital Limited. Επισημαίνουν τον τρόπο με τον οποίο οι απειλές μιμούνται νόμιμες εταιρείες του κλάδου για να ενεργοποιήσουν τη λειτουργία τους.
Προς το παρόν, δεν είναι ξεκάθαρο πόσο διαδεδομένες είναι αυτές οι εκστρατείες. Ωστόσο, όπως πρόσφατα υπογράμμισε η Mandiant, μια εταιρεία της Google, οι υποψήφιοι στόχοι αναζητούνται μέσω του LinkedIn.
«Μετά από μια αρχική συνομιλία, ο hacker αποστέλλει ένα αρχείο ZIP που περιέχει κακόβουλο λογισμικό COVERTCATCH, μεταμφιεσμένο ως πρόβλημα στην κωδικοποίηση Python. Αυτό το αρχείο θέτει σε κίνδυνο το σύστημα macOS του χρήστη, αφού κατεβάσει ένα δεύτερο κακόβουλο λογισμικό (malware) που παραμένει στο σύστημα μέσω Launch Agents και Launch Daemons», δήλωσε η εταιρεία.
Η εταιρεία κυβερνοασφάλειας Genians αποκάλυψε ότι ο κακόβουλος παράγοντας από τη Βόρεια Κορέα που φέρει την ονομασία Konni εντείνει τις επιθέσεις του κατά της Ρωσίας και της Νότιας Κορέας. Χρησιμοποιεί spear-phishing που οδηγεί στην ανάπτυξη του AsyncRAT, με επικαλύψεις που σχετίζονται με μια κακόβουλη εκστρατεία που ονομάζεται CLOUD#REVERSER (γνωστή και ως punK-002).
Δείτε περισσότερα: SpyAgent: Νέο Android malware κλέβει τα recovery phrases των crypto wallets
Ορισμένες από αυτές τις επιθέσεις περιλαμβάνουν τη διάδοση ενός νέου κακόβουλου λογισμικού που ονομάζεται CURKON. Πρόκειται για ένα αρχείο συντόμευσης των Windows (LNK) που λειτουργεί ως πρόγραμμα λήψης για μια παραλλαγή του Lilith RAT με τη χρήση του AutoIt. Αυτή η δραστηριότητα έχει συνδεθεί με ένα υποσυστάδα που παρακολουθείται ως puNK-003, σύμφωνα με την S2W.
Πηγή: thehackernews
