Нападки Lazarus Group на разработчиков Python

13 сентября 2024, 17:46 / Технологии → Новости / Технологии

Мало что может быть более утомительным, чем поиск новой работы, но еще хуже, когда потенциальный новый работодатель оказывается фальшивым и вместо этого использует кажущуюся возможность трудоустройства как способ заразить вас вредоносным ПО. Согласно отчету Reversing Labs, ведущей компании по кибербезопасности, это происходит с разработчиками Python по милости северокорейских хакеров уже около года и, вероятно, будет продолжаться.

Эти конкретные атаки от финансируемой государством северокорейской хакерской команды Lazarus Group являются новыми, но общая вредоносная кампания против сообщества разработчиков Python ведется как минимум с августа 2023 года, когда ряд популярных инструментов Python с открытым исходным кодом были злонамеренно продублированы с добавлением вредоносного ПО. Теперь, однако, есть также атаки, включающие «тесты кодирования», которые существуют только для того, чтобы заставить конечного пользователя установить скрытое вредоносное ПО в своей системе (умело скрытое с помощью кодировки Base64), которое позволяет удаленное выполнение, если оно присутствует. Возможности эксплуатации на этом этапе практически неограниченны из-за гибкости Python и того, как он взаимодействует с базовой ОС. Это хорошее время, чтобы обратиться к PEP 668, который обеспечивает виртуальные среды для несистемных общесистемных установок Python.

Мотивы этих атак неизвестны, но поскольку Lazarus Group — это команда хакеров, спонсируемых государством, есть большая вероятность, что Северная Корея просто делает все возможное, чтобы стать еще большей международной угрозой кибербезопасности. Жертвы из сообщества разработчиков FOSS и Python не являются государственными служащими, но Python все чаще используется в различных отраслях.
У спонсируемой государством Lazarus Group, вероятно, нет более масштабных целей, чем просто захват машин или кража денег, но ее атаки на невинных программистов, ищущих работу, могут указывать на желание саботировать кибер-работников и за пределами Северной Кореи. Reversing Labs также говорит об этих атаках, нацеленных на разработчиков в «чувствительных организациях», а не только на тех, кто ищет работу.

Помимо подробного описания того, как работают эти атаки, в оригинальном отчете Reversing Labs предупреждается, что эти атаки от Lazarus Group являются частью «активной кампании». Фактически, в тот же день, когда один из пострадавших пользователей обратился в ReversingLabs, на GitHub появился другой инструмент эксплуатации. Хотя рассматриваемый эксплойт был удален, время этого, по-видимому, указывает на то, что пользователь, контактирующий с Reversing Labs, по-прежнему скомпрометирован Lazarus Group, и что публикация была ответом на просмотр сообщений жертвы о проблеме.

В сегодняшнюю эпоху кибербезопасность — это не просто вопрос не посещать подозрительные веб-сайты — почти все крупные правительства мира имеют в штате спонсируемых государством хакеров. Пока эти хакеры могут собирать деньги или информацию для своего правительства, они будут делать это, используя любую возможную брешь в кибербезопасности — включая, к сожалению, ложные вакансии.

Источник: Tomshardware.com