Фальшивые рекрутеры скрывают вредоносное ПО в заданиях по программированию для...

Северокорейские хакеры проводят фейковую рекрутинговую кампанию, нацеленную на разработчиков JavaScript и Python, которая скрывает вредоносное программное обеспечение в заданиях по программированию. Эта деятельность продолжается минимум с мая прошлого года.

Злоумышленники используют пакеты, опубликованные в репозиториях npm и PyPI, которые выступают в качестве загрузчиков для троянов удалённого доступа (RAT). В общей сложности исследователи обнаружили 192 вредоносных пакета, связанных с этой кампанией, которая получила название Gragphalgo.

Исследователи ReversingLabs утверждают, что злоумышленник создаёт поддельные компании в секторах блокчейна и криптотрейдинга, публикует объявления о вакансиях на различных платформах, включая LinkedIn, Facebook** и Reddit. От соискателей требуют продемонстрировать свои навыки, запустив, отладив и улучшив заданный проект. Однако таким образом хакеры заставляют кандидата запустить код.

Действие приводит к установке и выполнению вредоносного ПО из легитимного репозитория.

В ReversingLabs рассказали, что создание таких хранилищ весьма простое. Злоумышленнику достаточно взять легитимный базовый проект, добавить в него вредоносный пакет и предоставить его жертвам. Чтобы скрыть вредоносный характер, хакеры размещают такие проекты на легитимных платформах.

В одном из случаев пакет под названием bigmathutils, скачанный более 10 тыс. раз, оставался безопасным до версии 1.1.0, в которой появились вредоносные программы. Вскоре после этого злоумышленник удалил пакет, пометив его как устаревший, вероятно, чтобы скрыть свою деятельность.

Наименование Gragphalgo происходит от названий пакетов, в которых присутствует слово graph. Как правило, они имитируют популярные и легитимные библиотеки, такие как graphlib. Однако с декабря прошлого года злоумышленники перешли на пакеты услуг, в названии которых присутствует слово big.

При этом ReversingLabs не обнаружила ни части, отвечающей за набор персонала, ни интерфейса рекламной кампании, связанный с этими пакетами.

По словам исследователей, злоумышленник использует GitHub Organizations — общие учётные записи для совместной работы над несколькими проектами. ReversingLabs утверждает, что репозитории GitHub чисты, а вредоносный код внедряется через зависимости, размещённые на npm и PyPI, которые представляют собой пакеты Graphalgo.

Запускающие проекты жертвы заражают свои системы этими пакетами, которые устанавливают вредоносную программу типа RAT. Множество вариантов кода написано на JavaScript, Python и VBS, что свидетельствует о намерении охватить все возможные цели.

Исследователи связывают кампанию по фальшивому рекрутингу с группировкой Lazarus. Этот вывод основан на используемом подходе, применении тестов кода в качестве вектора заражения и ориентации на криптовалюты, что соответствует предыдущей деятельности северокорейских хакеров.