Хакеры охотятся на Python-разработчиков. Через фальшивые тесты для программистов

Группировка Lazarus маскируется под крупные банки, используя фальшивые вакансии и тестовые задания для заражения систем вредоносным ПО

Хакеры из северокорейской кибергруппировки Lazarus начали новую кампанию, нацеленную на Python-разработчиков. Злоумышленники маскируются под представителей крупных американских банков, таких как Capital One, предлагая потенциальным жертвам пройти срочное тестовое задание.Новости СМИ2 В рамках задания кандидаты должны найти уязвимость в менеджере паролей, однако вместо этого запускают вредоносное ПО на своих системах.

По данным компании ReversingLabs, эта кибератака активна с августа 2023 года и до сих пор может представлять угрозу. Хакеры загружают вредоносные пакеты в популярные репозитории, такие как PyPI, а проекты с «тестовыми заданиями» размещаются на GitHub. Инструкции к проектам включают требования срочности, призывая кандидатов выполнить тест за полчаса. Подобная спешка отвлекает внимание от возможных проверок на наличие вредоносного кода.

Главная цель злоумышленников — заставить программистов запустить файл PasswordManager.py, который содержит скрытый вредоносный модуль, замаскированный под обычные библиотеки. Этот модуль подключается к удаленному серверу и может загружать дополнительные компоненты для взлома системы.

Эксперты по безопасности предупреждают, что такая схема может использоваться для проникновения в корпоративные сети через доверенных сотрудников. Хакеры отслеживают программистов через LinkedIn и предлагают «золотые горы» в виде срочных вакансий, что делает предложение особенно заманчивым для специалистов, ищущих работу.