Hay pocas cosas peores que encontrar un nuevo trabajo, pero aún peor es cuando su nuevo empleador potencial es falso y utiliza la aparente oportunidad laboral para infectarlo con malware. Los piratas informáticos norcoreanos han estado haciendo esto a los desarrolladores de Python durante aproximadamente un año y es probable que continúen, según un informe de Reversing Labs, una empresa líder en ciberseguridad.
Si bien estos ataques específicos del colectivo estatal de hackers de Corea del Norte, Lazarus Group, son nuevos, la campaña general de malware contra la comunidad de desarrollo de Python ha sido una gran amenaza para muchas herramientas populares de código abierto de Python desde al menos agosto de 2023. se agregó el malware. Sin embargo, algunos ataques ahora implican “pruebas de codificación” que obligan a los usuarios finales a instalar malware oculto (inteligentemente oculto en codificación Base64) en sus sistemas, lo que permite la ejecución remota una vez presente. Debido a la flexibilidad de Python y la forma en que interactúa con el sistema operativo subyacente, su explotabilidad es casi ilimitada en ese momento. Este es un buen momento para referirse a PEP 668, que obliga a entornos virtuales para instalaciones de Python que no abarcan todo el sistema.
Se desconoce el motivo de estos ataques, pero dado que Lazarus Group es un grupo de hackers patrocinado por el estado, es muy posible que Corea del Norte simplemente esté haciendo lo que puede para convertirse en una amenaza internacional para la ciberseguridad. Aunque las víctimas de FOSS y la comunidad de desarrollo de Python no son empleados gubernamentales, Python se utiliza cada vez más en múltiples industrias.
Aunque el Grupo Lazarus, respaldado por el estado, no parece tener mayores objetivos que simplemente secuestrar máquinas y robar dinero, el ataque a programadores inocentes que buscan empleo también apunta a la fuerza laboral cibernética de Corea del Norte fuera de Corea del Norte. Esto puede indicar una intención de interferir. Reversing Labs también dijo que estos ataques se dirigen a desarrolladores de “organizaciones sensibles”, así como a buscadores de empleo.
Además de detallar cómo funcionan estos ataques, el informe original de Reversing Labs advierte que estos ataques por parte de Lazarus Group son parte de una “campaña activa”. De hecho, el mismo día que uno de los usuarios afectados contactó con ReversingLabs, apareció otra herramienta de exploit en GitHub. Aunque el exploit en cuestión ha sido eliminado, el momento sugiere que los usuarios que estaban en contacto con Reversing Labs todavía estaban comprometidos por el Grupo Lazarus, y esta publicación fue en respuesta a ver la comunicación de la víctima sobre el problema.
Hoy en día, la ciberseguridad es más que una simple cuestión de no visitar sitios web sospechosos. Casi todos los países importantes del mundo emplean piratas informáticos patrocinados por el estado. Mientras los piratas informáticos puedan recolectar dinero o información para el gobierno, aprovecharán todas las brechas en la ciberseguridad para lograrlo. Desafortunadamente, las ofertas de trabajo falsas también caen en el olvido.
https://www.tomshardware.com/tech-industry/cyber-security/python-developers-targeted-by-north-korean-lazarus-group-with-fake-jobs-and-malware-disguised-as-coding-tests
