Los investigadores de ciberseguridad de ReversingLabs han descubierto paquetes de software malicioso vinculados a una campaña conocida como VMConnect, que se cree que está orquestada por el equipo de piratería norcoreano Lazarus Group. La campaña, identificada por primera vez en agosto de 2023, utiliza entrevistas de trabajo falsas para engañar a los desarrolladores para que descarguen y ejecuten código malicioso. Las últimas muestras se remontaron a proyectos de GitHub asociados con ataques dirigidos anteriores. Los investigadores pudieron identificar a un desarrollador comprometido y obtener información sobre una campaña en curso en la que los atacantes se hacen pasar por empleados de importantes empresas de servicios financieros. Los flujos de trabajo de búsqueda de amenazas de ReversingLabs, que incluyen un monitoreo continuo de amenazas previamente identificadas, llevaron al descubrimiento. Se comparó una regla YARA creada por el CERT de Japón y relacionada con la campaña VMConnect con varias muestras cargadas en la plataforma Spectra Intelligence de ReversingLabs en junio de 2024. El código malicioso se encontró oculto en archivos Python compilados, lo que lo hace más difícil de detectar. Los paquetes estaban disfrazados de pruebas de habilidades de codificación vinculadas a entrevistas de trabajo, con nombres como «Python_Skill_Assessment.zip» y «Python_Skill_Test.zip». Las instrucciones en los archivos README solicitaron a los candidatos que encontraran y corrigieran un error en una aplicación de administrador de contraseñas, asegurando que la ejecución del malware se activaría independientemente de la finalización de la tarea. El código malicioso estaba contenido en los módulos pyperclip y pyrebase, presentes tanto en el archivo __init__.py como en el correspondiente archivo compilado de Python. Los investigadores han descubierto pruebas que identifican a posibles víctimas de la campaña. Un paquete reveló que los atacantes se hicieron pasar por Capital One, una importante empresa de servicios financieros de Estados Unidos. Otro archivo se llamó «RookeryCapital_PythonTest.zip», en alusión al nombre de otra empresa de servicios financieros. El análisis de una carpeta .git en uno de los archivos detectados condujo a la identificación de un desarrollador objetivo. El desarrollador confirmó que fue víctima de un atacante que se hacía pasar por un reclutador de Capital One en enero de 2024. Si bien algunos de estos ataques se remontan a más de seis meses, hay evidencia de que la campaña está en curso. El 31 de julio de 2024, se descubrió un repositorio de GitHub recientemente publicado llamado «testing», casi idéntico a los repositorios anteriores y que contenía el mismo código malicioso. La correlación entre el lanzamiento del nuevo proyecto y el contacto de ReversingLabs con un desarrollador comprometido sugiere que el atacante aún puede tener acceso al sistema del desarrollador. Esta campaña es parte de una tendencia creciente entre ciberdelincuentes sofisticados y grupos de estados-nación que utilizan ofertas de entrevistas de trabajo falsas y aprovechan paquetes y plataformas de código abierto para apuntar a los desarrolladores. Se recomienda a las organizaciones que tengan cuidado con este tipo de descargas y eduquen a su personal sobre los riesgos de ejecutar código de fuentes desconocidas. Ver también: Desarrolladores de Roblox atacados por una campaña de malware que dura un año ¿Quiere aprender más sobre ciberseguridad y la nube de la mano de los líderes de la industria? Consulte la Cyber Security & Cloud Expo que se llevará a cabo en Ámsterdam, California y Londres. El evento completo se llevará a cabo simultáneamente con otros eventos importantes, incluidos BlockX, Digital Transformation Week, IoT Tech Expo y AI & Big Data Expo. Explore otros próximos eventos y seminarios web de tecnología empresarial proporcionados por TechForge aquí. Etiquetas: ciberseguridad, ciberseguridad, hacking, infosec, grupo lazarus, malware, reversinglabs, seguridad
Check Also
Correcciones adicionales en el panel: instantánea del navegador Vivaldi 3491.4
En la instantánea de hoy hay mejoras adicionales en el experimento del panel de la …