Lazarus Group gebruikt nep-coderingstests om malware te verspreiden

Cybersecurityonderzoekers hebben een nieuwe reeks schadelijke Python-pakketten ontdekt die softwareontwikkelaars aanvallen onder het mom van codebeoordelingen.

“De nieuwe voorbeelden werden gevolgd naar GitHub-projecten die in verband werden gebracht met eerdere, gerichte aanvallen waarbij ontwikkelaars werden gelokt met nep-sollicitatiegesprekken”, aldus Karlo Zanki, onderzoeker bij ReversingLabs.

De activiteit wordt gezien als onderdeel van een lopende campagne genaamd VMConnect, die voor het eerst aan het licht kwam in augustus 2023. Er zijn aanwijzingen dat het het werk is van de door Noord-Korea gesteunde Lazarus Group.

Noord-Koreaanse cybercriminelen gebruiken sollicitatiegesprekken op grote schaal als infectievector. Ze benaderen nietsvermoedende ontwikkelaars op sites als LinkedIn of verleiden hen tot het downloaden van frauduleuze pakketten als onderdeel van een zogenaamde vaardigheidstest.

Deze pakketten zijn op hun beurt rechtstreeks gepubliceerd op openbare repositories zoals npm en PyPI, of gehost op GitHub-repositories die onder hun beheer vallen.

ReversingLabs meldde dat het schadelijke code had geïdentificeerd die was ingebed in aangepaste versies van legitieme PyPI-bibliotheken zoals pyperclip en pyrebase.

“De schadelijke code bevindt zich zowel in het bestand __init__.py als in het bijbehorende gecompileerde Python-bestand (PYC) in de map __pycache__ van de betreffende modules”, aldus Zanki.

Het is geïmplementeerd in de vorm van een Base64-gecodeerde tekenreeks die een downloaderfunctie verbergt die contact maakt met een command-and-control (C2)-server om opdrachten uit te voeren die als reactie zijn ontvangen.

In één geval van de codeeropdracht die door het softwareleveranciersbedrijf werd geïdentificeerd, probeerden de kwaadwillende actoren een vals gevoel van urgentie te creëren door van werkzoekenden te eisen dat ze binnen vijf minuten een Python-project bouwden in de vorm van een ZIP-bestand en binnen 15 minuten een fout in de code opspoorden en repareerden.

Nep-coderingstests

Hierdoor is de kans “groter dat hij of zij het pakket uitvoert zonder eerst enige vorm van beveiliging of zelfs maar een broncodecontrole uit te voeren”, aldus Zanki. “Hierdoor weten de kwaadwillenden achter deze campagne zeker dat de ingebedde malware op het systeem van de ontwikkelaar wordt uitgevoerd.”

Bij een aantal van de eerder genoemde tests werd beweerd dat het ging om een ​​technisch interview voor financiële instellingen zoals Capital One en Rookery Capital Limited. Dit onderstreept hoe de criminelen zich voordoen als legitieme bedrijven in de sector om de operatie uit te voeren.

Het is momenteel niet duidelijk hoe wijdverbreid deze campagnes zijn, hoewel potentiële doelwitten worden gescout en benaderd via LinkedIn, zoals onlangs ook werd benadrukt door Mandiant, eigendom van Google.

“Na een eerste chatgesprek stuurde de aanvaller een ZIP-bestand met COVERTCATCH-malware, vermomd als een Python-codeeruitdaging. Deze malware infecteerde het macOS-systeem van de gebruiker door een tweede fase malware te downloaden die via Launch Agents en Launch Daemons bleef bestaan”, aldus het bedrijf.

De ontwikkeling komt nadat cybersecuritybedrijf Genians onthulde dat de Noord-Koreaanse cybercrimineel met de codenaam Konni zijn aanvallen op Rusland en Zuid-Korea intensiveert door spear-phishing-lokmiddelen te gebruiken die hebben geleid tot de implementatie van AsyncRAT, met overeenkomsten met een campagne met de codenaam CLOUD#REVERSER (ook bekend als puNK-002).

Sommige van deze aanvallen omvatten ook de verspreiding van een nieuwe malware genaamd CURKON, een Windows-snelkoppelingsbestand (LNK) dat dient als downloader voor een AutoIt-versie van Lilith RAT. De activiteit is gekoppeld aan een subcluster die is gevolgd als puNK-003, volgens S2W.

Thijs Van der Does