Pseudo-Einstellungstests:
Nordkorea-Hacker zielen auf Entwickler
Nordkoreanische Hacker versuchen aktuell, Rechner von Entwicklern zu kapern. Dafür werden vermeintliche Einstellungs-Tests angebahnt. Während dieser bringt man das Opfer zur Installation von Malware, die den Angreifern Kontrolle über das jeweilige System bietet.
In der jüngsten Operation sind vor allem Python-Programmierer das Ziel. Dabei treten die Angreifer auf Plattformen wie LinkedIn in Kontakt mit den Zielpersonen und überzeugen sie, manipulierte Pakete von öffentlichen Repositories wie npm, PyPI oder eigenen GitHub-Accounts zu laden. Zanki erläutert, dass ReversingLabs schädlichen Code in modifizierten Versionen legitimer Python-Bibliotheken wie "pyperclip" und "pyrebase" entdeckt hat. Dieser nutzt eine Base64-codierte Zeichenfolge, um einen Downloader zu verschleiern, der Kontakt zu einem Kommando- und Kontrollserver (C2) aufnimmt, um schädliche Befehle auszuführen.
Besonders perfide sind die gefälschten Coding-Tests, die die Angreifer als Teil eines Bewerbungsprozesses tarnen. So sollen vermeintliche Bewerber ein Python-Projekt, das in einer ZIP-Datei bereitgestellt wird, innerhalb von fünf Minuten ausführen und anschließend innerhalb von 15 Minuten einen Fehler beheben. Durch diesen Zeitdruck steigt die Wahrscheinlichkeit, dass die Entwickler das Paket ausführen, ohne vorher einen Sicherheits- oder Code-Check durchzuführen.
Einige dieser Tests geben sich als technische Interviews für bekannte Finanzinstitute wie "Capital One" und "Rookery Capital Limited" aus, um die Täuschung glaubwürdiger zu gestalten. Es ist derzeit unklar, wie weitverbreitet diese Kampagne ist, aber gezielte Angriffe über Plattformen wie LinkedIn wurden bereits von mehreren Sicherheitsfirmen bestätigt.
Diese neuen Entdeckungen sind Teil einer größeren Welle nordkoreanischer Cyberangriffe, die auch auf andere Länder abzielt. So hat das Sicherheitsunternehmen Genians eine Intensivierung von Spear-Phishing-Angriffen durch die Gruppe "Konni" gegen Russland und Südkorea festgestellt. Dabei wird unter anderem neue Malware wie "CURKON" verbreitet, die als Downloader für weitere Schadprogramme dient.
Siehe auch:
Malware unter Zeitdruck
Wie der Sicherheitsforscher Karlo Zanki von ReversingLabs berichtet, sind die jetzt entdeckten Angriffe Teil einer größeren Operation, mit der Entwickler ins Visier genommen werden. Diese läuft in unterschiedlichen Varianten im Grunde bereits seit dem August 2023. Es gibt Hinweise darauf, dass die nordkoreanische Lazarus-Gruppe hinter der Sache steckt.In der jüngsten Operation sind vor allem Python-Programmierer das Ziel. Dabei treten die Angreifer auf Plattformen wie LinkedIn in Kontakt mit den Zielpersonen und überzeugen sie, manipulierte Pakete von öffentlichen Repositories wie npm, PyPI oder eigenen GitHub-Accounts zu laden. Zanki erläutert, dass ReversingLabs schädlichen Code in modifizierten Versionen legitimer Python-Bibliotheken wie "pyperclip" und "pyrebase" entdeckt hat. Dieser nutzt eine Base64-codierte Zeichenfolge, um einen Downloader zu verschleiern, der Kontakt zu einem Kommando- und Kontrollserver (C2) aufnimmt, um schädliche Befehle auszuführen.
Besonders perfide sind die gefälschten Coding-Tests, die die Angreifer als Teil eines Bewerbungsprozesses tarnen. So sollen vermeintliche Bewerber ein Python-Projekt, das in einer ZIP-Datei bereitgestellt wird, innerhalb von fünf Minuten ausführen und anschließend innerhalb von 15 Minuten einen Fehler beheben. Durch diesen Zeitdruck steigt die Wahrscheinlichkeit, dass die Entwickler das Paket ausführen, ohne vorher einen Sicherheits- oder Code-Check durchzuführen.
Einige dieser Tests geben sich als technische Interviews für bekannte Finanzinstitute wie "Capital One" und "Rookery Capital Limited" aus, um die Täuschung glaubwürdiger zu gestalten. Es ist derzeit unklar, wie weitverbreitet diese Kampagne ist, aber gezielte Angriffe über Plattformen wie LinkedIn wurden bereits von mehreren Sicherheitsfirmen bestätigt.
Viele gezielte Attacken
Die Vorgehensweise der Hacker bleibt dabei raffiniert. Nach einem ersten Gespräch über LinkedIn wird ein ZIP-Archiv mit dem getarnten Schadprogramm versendet. Der Download aktiviert eine zweite Malware-Stufe, die auf dem System verbleibt und über "Launch Agents" und "Launch Daemons" verankert wird.Diese neuen Entdeckungen sind Teil einer größeren Welle nordkoreanischer Cyberangriffe, die auch auf andere Länder abzielt. So hat das Sicherheitsunternehmen Genians eine Intensivierung von Spear-Phishing-Angriffen durch die Gruppe "Konni" gegen Russland und Südkorea festgestellt. Dabei wird unter anderem neue Malware wie "CURKON" verbreitet, die als Downloader für weitere Schadprogramme dient.
Zusammenfassung
- Nordkoreanische Hacker kapern Entwickler-Rechner mittels Fake-Tests
- Angriffe zielen seit August 2023 auf Entwickler, hinter ihnen steht Lazarus-Gruppe
- Python-Programmierer werden über LinkedIn und Repositories wie npm angelockt
- Schädlicher Code in Python-Bibliotheken wie "pyperclip" und "pyrebase" gefunden
- Gefälschte Coding-Tests im Bewerbungsprozess erhöhen das Risiko unbedachter Installation
- Technische Interviews für Firmen wie "Capital One" dienen als Täuschung
- Hacker senden ZIP-Archiv mit Schadsoftware, die sich tief im System verankert
Siehe auch:
Thema:
