La investigación identificó un paquete de software malicioso asociado con el grupo de hackers norcoreano Lazarus Group. Estos actores maliciosos utilizan nombres de empresas financieras para hacerse pasar por reclutadores y atraer a desarrolladores.
Comprender las tácticas del Grupo Lazarus
Callie Guenther, directora sénior de investigación de amenazas cibernéticas de Critical Start, dijo: “El uso de evaluaciones de codificación falsas por parte del Grupo Lazarus para atacar a los desarrolladores resalta la evolución de sus tácticas. Actualmente, el grupo está explotando plataformas confiables como GitHub, PyPI y npm para infectar plataformas legítimas como pyperclip y pyrebase. Está distribuyendo código malicioso oculto. en la biblioteca.
Eric Schwake, director de estrategia de ciberseguridad de Salt Security, explica la razón principal por la que esta táctica es peligrosa:
“Explotar la confianza de los desarrolladores: este ataque aprovecha el deseo natural de los desarrolladores de mostrar sus habilidades. Es difícil de detectar porque utiliza el proceso legítimo de revisión y evaluación del código. Mezclarse con la actividad: descargar y ejecutar código es una parte fundamental. del flujo de trabajo de un desarrollador, lo que dificulta la identificación de actividades maliciosas durante las operaciones normales. Dirigirse a activos críticos: Desarrollo. A menudo tienen acceso privilegiado al código fuente, datos confidenciales y entornos de producción. Comprometer a los desarrolladores puede tener graves consecuencias posteriores.
Cómo los líderes de seguridad pueden reducir el riesgo de Lazarus Group
Guenther ofrece las siguientes recomendaciones para profesionales de la seguridad:
“Conciencia: Capacite a los desarrolladores para validar las pruebas y ofertas de codificación, especialmente cuando hay limitaciones de tiempo o para desarrolladores que no están familiarizados con el software. Seguridad de la cadena de suministro: Análisis de la configuración del software. Verifique la integridad de los paquetes de código abierto utilizando herramientas como Auditoría de código: revise periódicamente a terceros. código de fiesta y bibliotecas para elementos maliciosos: implementar EDR para detectar comportamientos anómalos relacionados con el malware. Confianza cero: aplicar un modelo de confianza cero para restringir el acceso si los sistemas de un desarrollador están comprometidos.
Schwacke sugiere:
“Aplicar Zero Trust para todo el código: Considere todo el código como potencialmente malicioso, incluso si proviene de una fuente aparentemente confiable, a menos que se demuestre lo contrario. Implemente procesos rigurosos de revisión y escaneo de código. Protección de su canal de CI/CD: refuerce su infraestructura de desarrollo con sistemas sólidos. controles de acceso, firma de código y validación de artefactos. Seguridad de API: las API son esenciales para las aplicaciones modernas. Identifique, proteja y supervise todo su panorama de API con una solución de seguridad. Capacitación en materia de seguridad: conozca las últimas técnicas de ingeniería social y los riesgos asociados. con la descarga y ejecución de código de fuentes desconocidas. Le educaremos”.
https://www.securitymagazine.com/articles/101042-north-korean-hacker-group-using-false-coding-tests-to-spread-malware
