Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes maliciosos de Python que apuntan a desarrolladores de software bajo la apariencia de evaluaciones de codificación.
Las nuevas muestras fueron rastreadas en proyectos de GitHub que han estado vinculados a ataques dirigidos anteriores en los que los desarrolladores son atraídos mediante entrevistas de trabajo falsas, reveló el investigador de ReversingLabs, Karlo Zanki.
La actividad ha sido evaluada como parte de una campaña en curso, apodada VMConnect, que salió a la luz por primera vez en agosto de 2023. Se sospecha que es obra del grupo Lazarus, respaldado por Corea del Norte.
El uso de entrevistas de trabajo como vector de infección ha sido ampliamente adoptado por actores amenazantes norcoreanos, ya sea acercándose a desarrolladores desprevenidos en sitios como LinkedIn o engañándolos para que descarguen paquetes fraudulentos como parte de una supuesta prueba de habilidades.
Estos paquetes, por su parte, se han publicado directamente en repositorios públicos como npm y PyPI, o alojados en repositorios de GitHub bajo su control.
ReversingLabs dijo que identificó código malicioso incrustado en versiones modificadas de bibliotecas legítimas de PyPI como pyperclip y pyrebase.
El código malicioso se encuentra tanto en el archivo __init__.py como en su respectivo archivo Python compilado (PYC) dentro del directorio __pycache__ de los módulos respectivos, explicó Zanki.
Se implementa en forma de una cadena encriptada en Base64 que oculta una función de descarga que establece contacto con un servidor de comando y control (C2) para ejecutar comandos recibidos como respuesta.
En una instancia de la tarea de codificación identificada por la empresa de suministro de software, los actores amenazantes buscaron crear un falso sentido de urgencia al requerir que los solicitantes de empleo construyan un proyecto de Python compartido en forma de un archivo ZIP en cinco minutos y encuentren y corrijan un error de codificación en los próximos 15 minutos.
Esto hace más probable que él o ella ejecute el paquete sin realizar ningún tipo de revisión de seguridad o incluso de código fuente primero, señaló Zanki, agregando que esto garantiza a los actores maliciosos detrás de esta campaña que el malware incrustado se ejecutaría en el sistema del desarrollador.
Algunas de las pruebas mencionadas afirmaban ser una entrevista técnica para instituciones financieras como Capital One y Rookery Capital Limited, subrayando cómo los actores amenazantes están suplantando a empresas legítimas en el sector para llevar a cabo la operación.
Actualmente no está claro qué tan extendidas están estas campañas, aunque los posibles objetivos son inspeccionados y contactados usando LinkedIn, como recientemente también destacó Mandiant, propiedad de Google.
«Después de una conversación de chat inicial, el atacante envió un archivo ZIP que contenía COVERTCATCH, malware disfrazado de un desafío de codificación de Python, que comprometió el sistema macOS del usuario al descargar un malware de segunda etapa que persistía a través de Agentes de Lanzamiento y Demonios de Lanzamiento», dijo la empresa.
Este desarrollo se produce cuando la empresa de ciberseguridad Genians reveló que el actor amenazante norcoreano, apodado Konni, está intensificando sus ataques contra Rusia y Corea del Sur empleando señuelos de spear-phishing que conducen a la implementación de AsyncRAT, con solapamientos identificados con una campaña apodada CLOUD#REVERSER (también conocida como puNK-002).
Algunos de estos ataques también implican la propagación de un nuevo malware llamado CURKON, un archivo de acceso directo (LNK) de Windows que sirve como un descargador para una versión de AutoIt de Lilith RAT. La actividad ha sido vinculada a un subgrupo rastreado como puNK-003, según S2W.
Vía The Hacker News
