- Северокорейские хакеры проводят фейковую рекрутинговую кампанию, нацеленную на разработчиков JavaScript и Python.
- Вредоносное ПО распространяется через задания по программированию и пакеты в репозиториях npm и PyPI, которые загружают трояны удалённого доступа (RAT).
- Исследователи связывают кампанию, получившую название Gragphalgo, с группировкой Lazarus, использующей сложные методы маскировки вредоносного кода.
Специалисты в области информационной безопасности выявили масштабную кампанию северокорейских хакеров, направленную на индустрию программирования. Злоумышленники создают поддельные вакансии и проекты для разработчиков на JavaScript и Python, чтобы внедрить вредоносное программное обеспечение. Эта активность, продолжающаяся не менее с мая прошлого года, получила название Gragphalgo.
Атакующие используют поддельные компании, якобы работающие в сферах блокчейна и криптоторговли, и распространяют фальшивые объявления о найме на таких площадках, как LinkedIn, Facebook и Reddit. От соискателей требуют выполнить и улучшить код, встраивая, тем самым, трояны удалённого доступа (RAT) в их системы. Вредоносные пакеты размещены в известных репозиториях npm и PyPI, что делает их загрузку на устройства жертв практически незаметной.
Исследователи обнаружили 192 вредоносных пакета, имитирующих популярные библиотеки с названиями, содержащими слово «graph» или «big». Например, пакет bigmathutils, который был загружен более 10 тысяч раз, в последних версиях стал источником вредоносного ПО, после чего был удалён злоумышленниками, вероятно, чтобы скрыть свои следы. Такая методика позволяет скрывать опасный код в легитимных проектах и усложняет обнаружение угрозы.
Для организации кампании злоумышленники используют общие учетные записи GitHub Organizations, при этом вредоносный код отсутствует в репозиториях GitHub и внедряется через зависимости из npm и PyPI. Запущенный жертвой код инициирует установку троянов на устройства под управлением JavaScript, Python и VBS, что расширяет диапазон атакуемых систем.
Эксперты компании ReversingLabs связывают новую кампанию с известной северокорейской группировкой Lazarus. Это основано на характерных методах атаки, использовании программного кода для тестирования и интеграции вредоносного ПО, а также на ориентации на криптовалютные сектора, что соответствует предыдущим действиям хакеров из Северной Кореи.
Данная операция ещё раз подчёркивает важность тщательной проверки внешних зависимостей и предупреждает о растущей угрозе целенаправленных кампаний с применением социальной инженерии в IT-сфере. Разработчикам рекомендуется быть предельно внимательными к предложениям о работе и тщательно исследовать проекты перед запуском любого кода.
