Lazarus利用虚假密码管理器编程测试诱骗Python开发人员
2024-9-12 17:35:0 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

朝鲜黑客组织 Lazarus 成员被指假冒招聘人员,通过包括恶意软件的密码管理产品的编程测试项目,钓鱼Python开发人员。

这些攻击是首次在2023年8月检测到的 “VMConnect 活动” 的一部分。威胁行动者们通过上传到 PyPI 仓库的恶意 Python 程序包攻击软件开发人员。

ReversingLabs追踪该活动超过一年,该公司发布报告提到,Lazarus 黑客将恶意编程项目托管在 GitHub 上,受害者查看README 文件,内含如何完成测试的指南。这些指南旨在营造一种专业、合法以及紧急的氛围。

研究人员发现,Lazarus 黑客组织伪装成美国多家大型银行如 Capital One 来吸引求职者,可能还会提供诱人的薪酬包。从其中一名受害者处获得的证据表明,Lazarus 通过 LinkedIn 等接近目标。

以找到bug 为诱饵

黑客要求候选人从一款密码管理器应用中找出一个 bug,提交修复方案并提供截屏进行证明。项目的 README 文件首先要求受害者在系统上运行恶意密码管理器应用 “PasswordManager.py”,接着要求找出错误并修复。该文件触发隐藏在 “pyperclip” 和 “pyrebase” 库的 “_init_.py” 文件中的base64混淆模块进行执行。被混淆的字符串是一款恶意软件下载器,它会联系C2服务器并等待命令,另外还具备提取和运行额外 payload 的能力。

为了确保候选人不会检查项目文件中的恶意或混淆代码,README 文件要求快速执行该任务:5分钟内构建项目,15分钟内执行修复方案,以及10分钟内发回最终结果。这样做的目的应该是证明开发人员在Python项目和 GitHub 中的经验,但目标是让受害者跳过任何可能暴露恶意代码的安全检查。

ReversingLabs 发现该攻击活动在7月31日仍然活跃并认为仍在进行。

软件开发人员应警惕从 LinkedIn 用户或别处接受的工作申请邀约是骗局的情况,并应考虑联系人的信息可能是伪造的。在收到任务之前,应尝试验证其他人的身份并和企业确认确实正在招聘人才。花时间扫描或仔细审计所给代码并仅在安全环境如虚拟机或沙箱应用中执行。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

AI Python 包中存在缺陷 “Llama Drama” ,威胁软件供应链

Python URL 解析漏洞可导致命令执行攻击

恶意 PyPI 包通过编译后的 Python 代码绕过检测

Python 开发人员提醒:PyPI 木马包假冒流行库发动攻击

Python 中存在原型污染漏洞变体

原文链接

https://www.bleepingcomputer.com/news/security/fake-password-manager-coding-test-used-to-hack-python-developers/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520782&idx=2&sn=cce5137652ee5a865b8d94f6c0c4d5d5&chksm=ea94a364dde32a72a8de2fb14429c1b6c01c42df715fba83b436d110a9059bcb7aeac6689bc2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh