«Нові зразки були відстежені в проєктах GitHub, які були пов’язані з попередніми цілеспрямованими атаками, під час яких розробників заманюють за допомогою фальшивих співбесід», — сказав дослідник ReversingLabs Карло Занкі.
Є ознаки того, що це справа рук кіберзлочинної групи Lazarus Group, яку підтримує Північна Корея.
Північнокорейські зловмисники широко використовують співбесіди як спосіб зараження, звертаючись до розробників на таких сайтах, як LinkedIn, або обманом змушуючи їх завантажити шкідливі пакети в межах так званого тесту на навички.
Ці пакети зі свого боку були опубліковані безпосередньо в публічних репозиторіях, таких як npm і PyPI, або розміщені в репозиторіях GitHub, які вони контролюють.
Компанія ReversingLabs повідомила, що виявила шкідливий код, вбудований в модифіковані версії легальних бібліотек PyPI, таких як pyperclip і pyrebase.
«Шкідливий код присутній як у файлі __init__.py, так і у відповідному скомпільованому файлі Python (PYC) в каталозі __pycache__ відповідних модулів», — сказав Занкі.
Він представлений у вигляді рядка, закодованого у Base64, який приховує функцію завантажувача, що встановлює зв’язок із командно-контрольним (C2) сервером для виконання команд, отриманих у відповідь.
В одному з випадків завдання з кодування, виявленому фірмою-постачальником програмного забезпечення, зловмисники намагалися створити хибне відчуття терміновості, вимагаючи від претендентів створити проєкт на Python у вигляді ZIP-файлу протягом п’яти хвилин, а протягом наступних 15 хвилин знайти та виправити помилки в кодуванні.
Це підвищує «ймовірність того, що він або вона виконає пакет без попереднього виконання будь-яких заходів безпеки або навіть перевірки вихідного коду», — сказав Занкі, додавши, що «це гарантує зловмисникам, які стоять за цією кампанією, що вбудоване шкідливе програмне забезпечення буде виконано на системі розробника».
Деякі з вищезгаданих тестів називалися технічними співбесідами для фінансових установ, таких як Capital One і Rookery Capital Limited.
Наразі незрозуміло, наскільки широко розповсюджені ці кампанії, хоча потенційні цілі відшукуються й контактують із ними через LinkedIn, про що нещодавно повідомила компанія Mandiant, що належить Google.
«Після початкової розмови в чаті зловмисник надіслав ZIP-файл, який містив шкідливе програмне забезпечення COVERTCATCH, замасковане під завдання з програмування на Python, яке скомпрометувало систему користувача macOS, завантаживши шкідливе програмне забезпечення другого етапу, яке продовжувало діяти через Launch Agents і Launch Daemons», — повідомили в компанії.