11 de septiembre de 2024Ravie LakshmananMalware / Desarrollo de software Los investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes Python maliciosos que se dirigen a los desarrolladores de software bajo la apariencia de evaluaciones de codificación. «Las nuevas muestras fueron rastreadas hasta proyectos de GitHub que se han vinculado a ataques selectivos anteriores en los que se atrae a los desarrolladores mediante entrevistas de trabajo falsas», dijo el investigador de ReversingLabs, Karlo Zanki. Se ha evaluado que la actividad es parte de una campaña en curso denominada VMConnect que salió a la luz por primera vez en agosto de 2023. Hay indicios de que es obra del Grupo Lazarus respaldado por Corea del Norte. El uso de entrevistas de trabajo como vector de infección ha sido adoptado ampliamente por los actores de amenazas norcoreanos, ya sea acercándose a desarrolladores desprevenidos en sitios como LinkedIn o engañándolos para que descarguen paquetes fraudulentos como parte de una supuesta prueba de habilidades. Estos paquetes, por su parte, se han publicado directamente en repositorios públicos como npm y PyPI, o se han alojado en repositorios de GitHub bajo su control. ReversingLabs dijo que identificó código malicioso incrustado en versiones modificadas de bibliotecas PyPI legítimas como pyperclip y pyrebase. «El código malicioso está presente tanto en el archivo __init__.py como en su correspondiente archivo Python compilado (PYC) dentro del directorio __pycache__ de los respectivos módulos», dijo Zanki. Se implementa en forma de una cadena codificada en Base64 que oculta una función de descarga que establece contacto con un servidor de comando y control (C2) para ejecutar comandos recibidos como respuesta. En un caso de la tarea de codificación identificada por la empresa de la cadena de suministro de software, los actores de la amenaza buscaron crear una falsa sensación de urgencia al exigir a los solicitantes de empleo que crearan un proyecto Python compartido en forma de archivo ZIP en cinco minutos y que encontraran y solucionaran una falla de codificación en los siguientes 15 minutos. Esto hace que sea «más probable que ejecute el paquete sin realizar ningún tipo de revisión de seguridad o incluso del código fuente primero», dijo Zanki, y agregó que «eso garantiza a los actores maliciosos detrás de esta campaña que el malware integrado se ejecutará en el sistema del desarrollador». Algunas de las pruebas mencionadas anteriormente afirmaban ser una entrevista técnica para instituciones financieras como Capital One y Rookery Capital Limited, lo que subraya cómo los actores de amenazas se hacen pasar por empresas legítimas del sector para llevar a cabo la operación. Actualmente no está claro cuán extendidas son estas campañas, aunque los objetivos potenciales son explorados y contactados a través de LinkedIn, como también destacó recientemente Mandiant, propiedad de Google. «Después de una conversación de chat inicial, el atacante envió un archivo ZIP que contenía malware COVERTCATCH disfrazado de un desafío de codificación Python, que comprometió el sistema macOS del usuario al descargar un malware de segunda etapa que persistió a través de Launch Agents y Launch Daemons», dijo la compañía. El desarrollo se produce después de que la empresa de ciberseguridad Genians revelara que el actor de amenazas norcoreano con nombre en código Konni está intensificando sus ataques contra Rusia y Corea del Sur mediante el empleo de señuelos de phishing que conducen al despliegue de AsyncRAT, con superposiciones identificadas con una campaña con nombre en código CLOUD#REVERSER (también conocido como puNK-002). Algunos de estos ataques también implican la propagación de un nuevo malware llamado CURKON, un archivo de acceso directo de Windows (LNK) que sirve como descargador para una versión de AutoIt de Lilith RAT. La actividad se ha vinculado a un subgrupo rastreado como puNK-003, según S2W. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.