朝鲜黑客组织 Lazarus 成员被指假冒招聘人员，通过包括恶意软件的密码管理产品的编程测试项目，钓鱼Python开发人员。

这些攻击是首次在2023年8月检测到的 “VMConnect 活动” 的一部分。威胁行动者们通过上传到 PyPI 仓库的恶意 Python 程序包攻击软件开发人员。

ReversingLabs追踪该活动超过一年，该公司发布报告提到，Lazarus 黑客将恶意编程项目托管在 GitHub 上，受害者查看README 文件，内含如何完成测试的指南。这些指南旨在营造一种专业、合法以及紧急的氛围。

研究人员发现，Lazarus 黑客组织伪装成美国多家大型银行如 Capital One 来吸引求职者，可能还会提供诱人的薪酬包。从其中一名受害者处获得的证据表明，Lazarus 通过 LinkedIn 等接近目标。

以找到bug 为诱饵

黑客要求候选人从一款密码管理器应用中找出一个 bug，提交修复方案并提供截屏进行证明。项目的 README 文件首先要求受害者在系统上运行恶意密码管理器应用 “PasswordManager.py”，接着要求找出错误并修复。该文件触发隐藏在 “pyperclip” 和 “pyrebase” 库的 “_init_.py” 文件中的base64混淆模块进行执行。被混淆的字符串是一款恶意软件下载器，它会联系C2服务器并等待命令，另外还具备提取和运行额外 payload 的能力。

为了确保候选人不会检查项目文件中的恶意或混淆代码，README 文件要求快速执行该任务：5分钟内构建项目，15分钟内执行修复方案，以及10分钟内发回最终结果。这样做的目的应该是证明开发人员在Python项目和 GitHub 中的经验，但目标是让受害者跳过任何可能暴露恶意代码的安全检查。

ReversingLabs 发现该攻击活动在7月31日仍然活跃并认为仍在进行。

软件开发人员应警惕从 LinkedIn 用户或别处接受的工作申请邀约是骗局的情况，并应考虑联系人的信息可能是伪造的。在收到任务之前，应尝试验证其他人的身份并和企业确认确实正在招聘人才。花时间扫描或仔细审计所给代码并仅在安全环境如虚拟机或沙箱应用中执行。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~