Negli ultimi tempi, è riemersa una minaccia nel mondo della sicurezza informatica: falsi reclutatori che prendono di mira gli sviluppatori con pacchetti Python dannosi su progetti GitHub, mascherati da test di codifica. Questa campagna, nota come VMConnect, è stata rilevata per la prima volta nell’agosto 2023 da ReversingLabs e collegata all’attore nordcoreano Lazarus Group.
Come funziona l’attacco
Gli attori malevoli si spacciano per reclutatori di rinomate aziende di servizi finanziari, contattando gli sviluppatori tramite piattaforme professionali come LinkedIn. Offrono opportunità di lavoro allettanti e, come parte del processo di selezione, chiedono ai candidati di completare un test di codifica.
L’ultima analisi avrebbe consentito di identificare uno degli sviluppatori vittima che contattato dai ricercatori ReversingLabs in uno scambio di e-mail “ha rivelato di essere stato contattato da un profilo LinkedIn e di aver ricevuto un collegamento al repository GitHub come “compito a casa”.”. Questo repository, tuttavia, conteneva pacchetti Python dannosi.
Il rapporto prosegue specificando che “Allo sviluppatore è stato chiesto di “trovare il bug”, risolverlo e inviare modifiche che risolvessero il bug” Quando le modifiche sono state inviate, il finto reclutatore gli ha chiesto di inviare screenshot del bug risolto, per assicurarsi che lo sviluppatore eseguisse il progetto sulla sua macchina.“.
Il processo d’infiltrazione
I falsi reclutatori inviano agli sviluppatori un archivio solitamente nominato “Python_Skill_Test” contenente il test di codifica e un file d’istruzioni (README.md) per l’attività richiesta da completare rapidamente allo scopo di dimostrare la competenza dello sviluppatore.
La procedura eventualmente eseguita attiva in realtà il malware nascosto e codificato in Base64 all’interno del file Python compilato (PYC).
Conseguenze dell’attacco
Una volta eseguito, il malware comunica con un server di comando e controllo C2 tramite richieste HTTP POST, permettendo agli attaccanti di eseguire ulteriori comandi sul sistema compromesso. Questo può portare anche all’installazione di ulteriori payload.
Come proteggersi
La crescente sofisticazione degli attacchi informatici richiede una maggiore consapevolezza e preparazione da parte degli sviluppatori. Essere informati sulle tecniche utilizzate dagli attaccanti e adottare misure preventive può fare la differenza:
- Controllare sempre le credenziali dei reclutatori e delle aziende che offrono opportunità di lavoro.
- Prima di eseguire qualsiasi codice, analizzarlo attentamente per individuare eventuali comportamenti sospetti.
- Implementare strumenti di sicurezza che possano rilevare e bloccare codice dannoso.
