Gli sviluppatori di software devono prestare particolare attenzione a una nuova minaccia informatica emersa di recente. Secondo i ricercatori di cybersecurity, il famigerato Lazarus Group ha iniziato a utilizzare falsi test di codifica per diffondere malware. Questa campagna, nota come VMConnect, è stata scoperta per la prima volta nell'agosto 2023 e vede i cybercriminali nordcoreani sfruttare tecniche di ingegneria sociale per ingannare i programmatori.

Metodi di Attacco

Il metodo di attacco prevede l'utilizzo di interviste di lavoro contraffatte per avvicinare sviluppatori ignari, spesso contattandoli tramite piattaforme come LinkedIn. Una volta stabilito un contatto, i cybercriminali inducono i programmatori a scaricare pacchetti Python maligni mascherati da test di competenze tecniche. Questi pacchetti vengono distribuiti su repository pubblici come npm e PyPI, o ospitati su GitHub sotto il controllo dei malintenzionati.

ReversingLabs e Codice Maligno

ReversingLabs ha identificato codici maligni integrati in versioni modificate di librerie Python legittime come pyperclip e pyrebase. Il codice dannoso si trova nei file __init__.py e nei corrispondenti file compilati Python (PYC) all'interno della directory __pycache__. Viene implementato sotto forma di stringa codificata in Base64 che nasconde una funzione downloader. Questa funzione stabilisce un contatto con un server di comando e controllo (C2) per eseguire comandi ricevuti.

Stratagemmi degli Attaccanti

In un caso specifico, gli attaccanti hanno creato un senso di urgenza richiedendo ai candidati di completare un progetto Python in formato ZIP entro cinque minuti e di trovare e correggere un difetto di codifica nei successivi 15 minuti. Questo stratagemma aumenta la probabilità che il candidato esegua il pacchetto senza effettuare una revisione del codice o di sicurezza, garantendo così che il malware venga eseguito sul sistema dello sviluppatore.

Interviste Tecniche False

Alcuni di questi test falsi sono stati presentati come interviste tecniche per istituzioni finanziarie come Capital One e Rookery Capital Limited, dimostrando come i cybercriminali fingano di rappresentare aziende legittime per portare a termine l'operazione. Sebbene non sia ancora chiaro quanto siano diffuse queste campagne, le vittime vengono spesso selezionate e contattate tramite LinkedIn, come recentemente evidenziato anche da Mandiant, una società di proprietà di Google.

Metodo di Compromissione

Dopo una prima conversazione in chat, l'attaccante invia un file ZIP contenente il malware COVERTCATCH, mascherato come una sfida di codifica Python. Questo malware compromette il sistema macOS dell'utente scaricando una seconda fase del malware che persiste tramite Launch Agents e Launch Daemons.

Ulteriori Minacce

Questa nuova minaccia si aggiunge a un panorama già complesso di attacchi informatici. Ad esempio, la società di cybersecurity Genians ha rivelato che il gruppo di minacce nordcoreano Konni sta intensificando gli attacchi contro Russia e Corea del Sud utilizzando esche di spear-phishing che conducono al deployment di AsyncRAT e altri malware come CURKON.