Según ReversingLabs, se observa que Lazarus Group continúa su campaña VMConnect dirigiéndose a los desarrolladores con nuevos paquetes de software malicioso en repositorios de código abierto.
Los investigadores dijeron que el grupo norcoreano se hizo pasar por empleados de Capital One, una importante empresa de servicios financieros, y utilizó entrevistas de trabajo falsas para atraer a los desarrolladores a descargar malware.
Este malware está diseñado para instalar un descargador malicioso en los sistemas de los desarrolladores que puede recuperar malware de segunda y tercera etapa, como puertas traseras y ladrones de información.
El atacante se hace pasar por Capital One
En un ataque reciente, los atacantes se hicieron pasar por personal de la empresa estadounidense de servicios financieros Capital One y enviaron paquetes de “prueba” a los desarrolladores a través de un enlace en un mensaje directo de LinkedIn.
Estos enlaces movieron el destino a un repositorio de GitHub como “tarea”.
Se suponía que los archivos en el repositorio eran pruebas de habilidades de codificación vinculadas a entrevistas de trabajo. Por ejemplo, los investigadores vieron archivos con nombres como Python_Skill_Assessment.zip y Python_Skill_Test.zip.
El archivo incluía un archivo README con instrucciones para los desarrolladores y plazos para completar la tarea.
“Esto claramente tiene como objetivo crear una sensación de urgencia entre los solicitantes de empleo, haciéndolos más propensos a ejecutar paquetes sin ninguna medida de seguridad o incluso revisiones del código fuente. “Un actor malicioso puede estar seguro de que el malware incorporado se ejecutará en el sistema del desarrollador. ” dijeron los investigadores.
El archivo README incluido con el paquete proporciona instrucciones para que los solicitantes de empleo encuentren y corrijan errores en la aplicación del administrador de contraseñas, vuelvan a publicar sus correcciones y documenten sus esfuerzos de codificación tomando capturas de pantalla.
Enlaces a campañas anteriores de VMConnect
Se cree que esta nueva actividad está relacionada con la campaña VMConnect, que se identificó por primera vez en agosto de 2023. La primera campaña se descubrió en el repositorio de código abierto Python Package Index (PyPI), donde se publicaban continuamente nuevos paquetes PyPI maliciosos todos los días.
En septiembre de 2023, ReversingLabs descubrió tres paquetes maliciosos adicionales de Python que se cree que forman parte de esta campaña ampliada: tablediter, request-plus y requestpro.
Se descubrió que esta campaña estaba asociada con el famoso grupo Lazarus después de una investigación realizada por el CERT de Japón.
En la última actividad observada, ReversingLabs también descubrió malware oculto en archivos compilados de Python.
El código de malware identificado en la nueva campaña estaba contenido en módulos pyperclip y pyrebase modificados. El código se implementó como una cadena codificada en Base64 que oculta el código del descargador. La funcionalidad maliciosa dentro de este archivo era idéntica a la observada en muestras de iteraciones anteriores de la campaña VMConnect.
Los investigadores creen que se está produciendo un comportamiento similar en otros lugares, incluido el ataque a desarrolladores de Python además de npm y Javascript con un nuevo conjunto de paquetes, haciéndose pasar por una empresa de servicios financieros y utilizando entrevistas de trabajo falsas para atraer objetivos.
La Operación Lázaro es una amenaza activa
Aunque esta actividad se remonta a más de seis meses, ReversingLabs dice que hay evidencia de que la campaña VMConnect del Grupo Lazarus es una amenaza activa. Por ejemplo, el 31 de julio, los investigadores descubrieron un repositorio de GitHub recientemente publicado llamado “testing”. Este es casi idéntico al archivo anterior de GitHub y contenía el mismo código malicioso.
“Toda la campaña ha estado activa desde principios de 2023, y creemos que es seguro llamarla campaña activa, ya que de vez en cuando continúan surgiendo nuevas muestras y proyectos maliciosos, y probablemente permanecerán activos durante algún tiempo. “, escribió la empresa.
Los investigadores señalaron que el uso de paquetes y plataformas de código abierto para atacar a los desarrolladores es una tendencia creciente entre los ciberdelincuentes sofisticados y los grupos de estados-nación.
Se recomienda a las organizaciones que tengan cuidado con dichas descargas y se aseguren de que los desarrolladores y otro personal técnico estén informados sobre los peligros de descargar y ejecutar código de fuentes desconocidas en sus sistemas.
