Peneliti keamanan siber telah mengungkap serangkaian paket Python berbahaya baru yang menargetkan pengembang perangkat lunak dengan kedok penilaian pengkodean.
“Sampel baru tersebut dilacak ke proyek GitHub yang telah dihubungkan ke serangan tertarget sebelumnya, yang mana pengembang dipancing menggunakan wawancara kerja palsu,” kata peneliti ReversingLabs, Karlo Zanki.
Aktivitas tersebut dinilai sebagai bagian dari kampanye berkelanjutan yang dijuluki VMConnect yang pertama kali terungkap pada Agustus 2023. Ada indikasi bahwa itu adalah hasil kerja Lazarus Group yang didukung Korea Utara.
Penggunaan wawancara kerja sebagai vektor infeksi telah diadopsi secara luas oleh para pelaku ancaman Korea Utara, baik dengan mendekati pengembang yang tidak menaruh curiga di situs-situs seperti LinkedIn atau menipu mereka agar mengunduh paket-paket palsu sebagai bagian dari uji keterampilan yang diklaim dilakukan.
Paket-paket ini, pada bagian mereka, telah diterbitkan langsung pada repositori publik seperti npm dan PyPI, atau dihosting pada repositori GitHub di bawah kendali mereka.
ReversingLabs mengatakan pihaknya mengidentifikasi kode berbahaya yang tertanam dalam versi modifikasi pustaka PyPI yang sah seperti pyperclip dan pyrebase.
“Kode berbahaya tersebut terdapat dalam berkas __init__.py dan berkas Python terkompilasi (PYC) yang sesuai di dalam direktori __pycache__ di masing-masing modul,” kata Zanki.
Ini diimplementasikan dalam bentuk string berkode Base64 yang mengaburkan fungsi pengunduh, yang menjalin kontak dengan server perintah-dan-kontrol (C2) untuk mengeksekusi perintah yang diterima sebagai respons.
Dalam satu contoh tugas pengkodean yang diidentifikasi oleh firma rantai pasokan perangkat lunak, pelaku ancaman berupaya menciptakan rasa urgensi yang salah dengan mengharuskan pencari kerja untuk membangun proyek Python yang dibagikan dalam bentuk file ZIP dalam waktu lima menit dan menemukan serta memperbaiki kelemahan pengkodean dalam 15 menit berikutnya.
Hal ini “meningkatkan kemungkinan bahwa ia akan mengeksekusi paket tersebut tanpa melakukan jenis keamanan apa pun atau bahkan peninjauan kode sumber terlebih dahulu,” kata Zanki, seraya menambahkan “hal itu memastikan kepada pelaku jahat di balik kampanye ini bahwa malware yang tertanam akan dieksekusi pada sistem pengembang.”
Beberapa tes yang disebutkan di atas mengklaim sebagai wawancara teknis untuk lembaga keuangan seperti Capital One dan Rookery Capital Limited, yang menggarisbawahi bagaimana aktor ancaman menyamar sebagai perusahaan sah di sektor tersebut untuk melakukan operasi.
Saat ini belum jelas seberapa luas penyebaran kampanye ini, meskipun target prospektif diintai dan dihubungi menggunakan LinkedIn, seperti yang baru-baru ini disoroti oleh Mandiant milik Google.
“Setelah percakapan obrolan awal, penyerang mengirim file ZIP yang berisi malware COVERTCATCH yang disamarkan sebagai tantangan pengkodean Python, yang membahayakan sistem macOS pengguna dengan mengunduh malware tahap kedua yang bertahan melalui Launch Agents dan Launch Daemons,” kata perusahaan itu.
Perkembangan ini terjadi saat perusahaan keamanan siber Genians mengungkapkan bahwa aktor ancaman Korea Utara dengan nama sandi Konni sedang mengintensifkan serangannya terhadap Rusia dan Korea Selatan dengan menggunakan umpan spear-phishing yang mengarah pada penyebaran AsyncRAT, dengan tumpang tindih yang diidentifikasi dengan kampanye dengan nama sandi CLOUD#REVERSER (alias puNK-002).
Beberapa serangan ini juga melibatkan penyebaran malware baru yang disebut CURKON, file pintasan Windows (LNK) yang berfungsi sebagai pengunduh untuk Lilith RAT versi AutoIt. Aktivitas tersebut telah dikaitkan dengan sub-kluster yang dilacak sebagai puNK-003, menurut S2W.