Los miembros del grupo de hackers norcoreano Lazarus están utilizando una sofisticada estrategia para infiltrarse en los sistemas de desarrolladores Python. Haciéndose pasar por reclutadores, estos ciberdelincuentes están atrayendo a los programadores con pruebas de codificación aparentemente legítimas para productos de gestión de contraseñas, que en realidad contienen malware.
La campaña «VMConnect»
Este ataque forma parte de la denominada «campaña VMConnect», detectada por primera vez en agosto de 2023. Según un informe de ReversingLabs, que ha estado siguiendo la campaña durante más de un año, los hackers de Lazarus están alojando proyectos de codificación maliciosos en GitHub, donde las víctimas encuentran archivos README con instrucciones para completar la prueba.
Tácticas de engaño
Los atacantes se hacen pasar por grandes bancos estadounidenses, como Capital One, para atraer a candidatos a puestos de trabajo, ofreciéndoles probablemente atractivos paquetes de empleo. Las evidencias sugieren que Lazarus se acerca activamente a sus objetivos a través de LinkedIn, una táctica documentada del grupo.
El proceso de la estafa
- Los hackers dirigen a los candidatos a encontrar un error en una aplicación de gestión de contraseñas.
- Se les pide que envíen su corrección y compartan una captura de pantalla como prueba de su trabajo.
- Las instrucciones del archivo README requieren que la tarea se complete rápidamente: cinco minutos para construir el proyecto, 15 minutos para implementar la corrección y 10 minutos para enviar el resultado final.
El malware oculto
El archivo malicioso ‘PasswordManager.py’ desencadena la ejecución de un módulo oculto en los archivos ‘init.py’ de las bibliotecas ‘pyperclip’ y ‘pyrebase’. Este módulo contiene un descargador de malware ofuscado en base64 que se comunica con un servidor de comando y control (C2) y espera órdenes.
Consejos de seguridad
ReversingLabs ha encontrado evidencias de que la campaña seguía activa el 31 de julio y cree que continúa en curso. Los desarrolladores de software que reciban invitaciones de trabajo de usuarios en LinkedIn o en otros lugares deben ser cautelosos ante la posibilidad de engaño. Se recomienda:
- Verificar la identidad de la persona que contacta.
- Confirmar de forma independiente con la empresa que realmente hay una ronda de contratación en curso.
- Tomar el tiempo necesario para escanear o revisar cuidadosamente el código proporcionado.
- Ejecutar el código solo en entornos seguros, como máquinas virtuales o aplicaciones de aislamiento.
La vigilancia y la precaución son fundamentales para protegerse contra estas sofisticadas amenazas cibernéticas que apuntan específicamente a los desarrolladores de software.
Fuente: OpenSecurity