VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loạt các gói Python độc hại mới nhắm vào các nhà phát triển phần mềm dưới vỏ bọc đánh giá mã hóa.

Nhà nghiên cứu Karlo Zanki của ReversingLabs cho biết : "Các mẫu mới đã được theo dõi đến các dự án GitHub có liên quan đến các cuộc tấn công có chủ đích trước đó, trong đó các nhà phát triển bị dụ dỗ bằng các cuộc phỏng vấn xin việc giả mạo".


Hoạt động này được đánh giá là một phần của chiến dịch đang diễn ra mang tên VMConnect, lần đầu tiên được phát hiện vào tháng 8 năm 2023. Có dấu hiệu cho thấy đây là tác phẩm của Nhóm Lazarus do Triều Tiên hậu thuẫn.

Việc sử dụng phỏng vấn xin việc như một phương thức lây nhiễm đã được các tác nhân đe dọa từ Triều Tiên áp dụng rộng rãi, bằng cách tiếp cận các nhà phát triển không nghi ngờ trên các trang web như LinkedIn hoặc lừa họ tải xuống các gói độc hại như một phần của bài kiểm tra kỹ năng được cho là.

Các gói này đã được xuất bản trực tiếp trên các kho lưu trữ công cộng như npm và PyPI hoặc được lưu trữ trên các kho lưu trữ GitHub do họ kiểm soát.

ReversingLabs cho biết họ đã xác định được mã độc được nhúng trong các phiên bản đã sửa đổi của các thư viện PyPI hợp pháp như pyperclip và pyrebase.

Zanki cho biết: "Mã độc hại có trong cả tệp __init__.py và tệp Python được biên dịch tương ứng (PYC) bên trong thư mục __pycache__ của các mô-đun tương ứng".

Nó được triển khai dưới dạng một chuỗi được mã hóa Base64, ẩn đi hàm tải xuống thiết lập kết nối với máy chủ chỉ huy và điều khiển (C2) để thực thi các lệnh nhận được dưới dạng phản hồi.

Trong một trường hợp bài tập viết mã được công ty chuỗi cung ứng phần mềm xác định, kẻ tấn công đã tìm cách tạo ra cảm giác cấp bách giả tạo bằng cách yêu cầu người tìm việc xây dựng một dự án Python được chia sẻ dưới dạng tệp ZIP trong vòng năm phút và tìm và sửa lỗi mã hóa trong 15 phút tiếp theo.


Zanki cho biết điều này "làm tăng khả năng kẻ tấn công sẽ thực thi gói tin mà không cần thực hiện bất kỳ loại bảo mật nào hoặc thậm chí là xem xét mã nguồn trước", đồng thời nói thêm "điều này đảm bảo với những kẻ tấn công đằng sau chiến dịch này rằng phần mềm độc hại được nhúng sẽ được thực thi trên hệ thống của nhà phát triển".

Một số bài kiểm tra nói trên được cho là cuộc phỏng vấn kỹ thuật dành cho các tổ chức tài chính như Capital One và Rookery Capital Limited, nhấn mạnh cách thức kẻ tấn công mạo danh các công ty hợp pháp trong ngành để thực hiện hoạt động này.

Hiện tại vẫn chưa rõ những chiến dịch này lan rộng đến mức nào, mặc dù các mục tiêu tiềm năng được tìm kiếm và liên hệ thông qua LinkedIn, như Mandiant thuộc sở hữu của Google cũng đã nêu bật gần đây.

"Sau cuộc trò chuyện ban đầu, kẻ tấn công đã gửi một tệp ZIP chứa phần mềm độc hại COVERTCATCH được ngụy trang dưới dạng thử thách mã hóa Python, xâm nhập vào hệ thống macOS của người dùng bằng cách tải xuống phần mềm độc hại giai đoạn thứ hai tồn tại thông qua Launch Agents và Launch Daemons", công ty cho biết.

Sự phát triển này diễn ra khi công ty an ninh mạng Genians tiết lộ rằng nhóm tin tặc Triều Tiên có mật danh Konni đang tăng cường các cuộc tấn công vào Nga và Hàn Quốc bằng cách sử dụng các chiêu trò lừa đảo trực tuyến dẫn đến việc triển khai AsyncRAT, có sự trùng lặp với một chiến dịch có mật danh CLOUD#REVERSER (hay còn gọi là puNK-002).

Một số cuộc tấn công này cũng bao gồm việc phát tán phần mềm độc hại mới có tên là CURKON, một tệp phím tắt Windows (LNK) đóng vai trò là trình tải xuống cho phiên bản AutoIt của Lilith RAT. Hoạt động này đã được liên kết với một nhóm phụ được theo dõi là puNK-003, theo S2W.