สมาชิกของกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus ที่สวมรอยเป็นผู้สรรหากำลังหลอกล่อนักพัฒนา Python ด้วยโครงการ Coding Tests สำหรับผลิตภัณฑ์ Password management ที่รวมมัลแวร์เข้าไปด้วย
การโจมตีดังกล่าวเป็นส่วนหนึ่งของ ‘แคมเปญ VMConnect’ ซึ่งตรวจพบครั้งแรกในเดือนสิงหาคม 2023 โดยที่ผู้คุกคามมุ่งเป้าไปที่นักพัฒนาซอฟต์แวร์ด้วยแพ็คเกจ Python ที่เป็นอันตรายซึ่งอัปโหลดไปยังที่เก็บ PyPI ตามรายงานจาก ReversingLabs ซึ่งติดตามแคมเปญมานานกว่าหนึ่งปี แฮกเกอร์ Lazarus เป็นเจ้าภาพโครงการเขียนโค้ดที่เป็นอันตรายบน GitHub ซึ่งเหยื่อจะค้นหาไฟล์ README พร้อมคำแนะนำเกี่ยวกับวิธีการทดสอบ คำแนะนำเหล่านี้มีไว้เพื่อสร้างความรู้สึกถึงความเป็นมืออาชีพ และความถูกต้องตามกฎหมายให้กับกระบวนการทั้งหมด รวมถึงความรู้สึกเร่งด่วนด้วย
ReversingLabs พบว่าชาวเกาหลีเหนือปลอมตัวเป็นธนาคารใหญ่ของสหรัฐฯ เช่น Capital One เพื่อดึงดูดผู้สมัครงาน โดยมีแนวโน้มว่าจะเสนอแพ็คเกจการจ้างงานที่น่าดึงดูดใจให้กับพวกเขา หลักฐานเพิ่มเติมที่ได้รับจากเหยื่อรายหนึ่งชี้ให้เห็นว่า Lazarus เข้าหาเป้าหมายผ่านทาง LinkedIn ซึ่งเป็นกลยุทธ์ที่มีการบันทึกไว้ของกลุ่ม
ค้นหาจุดบกพร่อง
แฮกเกอร์แนะนำให้ผู้สมัครค้นหาจุดบกพร่องในแอปพลิเคชันตัวจัดการรหัสผ่าน ส่งการแก้ไข และแบ่งปันภาพหน้าจอเป็นหลักฐานการทำงานของตน
ไฟล์โครงการ
ที่มา: ReversingLabs
ไฟล์ README สำหรับโครงการจะสั่งให้เหยื่อรันแอปพลิเคชันตัวจัดการรหัสผ่านที่เป็นอันตราย (‘PasswordManager.py’) บนระบบของตนก่อน จากนั้นจึงเริ่มค้นหาข้อผิดพลาดและแก้ไข
ไฟล์ README พร้อมคำแนะนำโครงการ
ที่มา: ReversingLabs
ไฟล์ดังกล่าวจะทริกเกอร์การดำเนินการของโมดูลที่เข้ารหัสด้วย base64 ที่ซ่อนอยู่ในไฟล์ ‘_init_.py’ ของไลบรารี ‘pyperclip’ และ ‘pyrebase’ String ที่เข้ารหัสคือโปรแกรมดาวน์โหลดมัลแวร์ที่ติดต่อกับเซิร์ฟเวอร์ Command and Control (C2) และรอรับคำสั่ง การดึงและเรียกใช้เพย์โหลดเพิ่มเติมนั้นอยู่ในขีดความสามารถของโปรแกรม
String ที่ปิดบังด้วย base64
ที่มา: ReversingLabs
เพื่อให้แน่ใจว่าผู้สมัครจะไม่ตรวจสอบไฟล์โปรเจ็กต์ว่ามีโค้ดที่เป็นอันตรายหรือถูกปิดบังหรือไม่ ไฟล์ README จะต้องทำงานให้เสร็จอย่างรวดเร็ว โดยใช้เวลาสร้างโปรเจ็กต์ 5 นาที ใช้ 15 นาทีในการแก้ไข และ 10 นาทีในการส่งผลลัพธ์สุดท้ายกลับมา สิ่งนี้ควรพิสูจน์ความเชี่ยวชาญของนักพัฒนาในการทำงานกับโปรเจ็กต์ Python และ GitHub แต่เป้าหมายคือทำให้เหยื่อข้ามการตรวจสอบความปลอดภัยใดๆ ที่อาจเปิดเผยโค้ดที่เป็นอันตราย
การแนะนำปัจจัยด้านเวลาเร่งด่วนสำหรับผู้สมัคร
แหล่งที่มา: ReversingLabs
ReversingLabs พบหลักฐานว่าแคมเปญดังกล่าวยังคงดำเนินอยู่ตั้งแต่วันที่ 31 กรกฎาคม และเชื่อว่าแคมเปญดังกล่าวยังคงดำเนินต่อไป นักพัฒนาซอฟต์แวร์ที่ได้รับคำเชิญสมัครงานจากผู้ใช้บน LinkedIn หรือที่อื่น ควรระมัดระวังเกี่ยวกับความเป็นไปได้ว่าเป็นการหลอกลวง และคำนึงว่าโปรไฟล์ที่ติดต่อพวกเขานั้นอาจเป็นของปลอมได้ ก่อนที่จะรับงาน ให้พยายามตรวจสอบตัวตนของอีกฝ่ายและยืนยันกับบริษัทว่ารอบการรับสมัครกำลังเปิดรับอยู่จริง ใช้เวลาในการสแกนหรือตรวจสอบโค้ดที่กำหนดอย่างละเอียด และดำเนินการในสภาพแวดล้อมที่ปลอดภัย เช่น Virtual machines หรือ Sandboxing applications เท่านั้น
Source: bleepingcomputer.com
