A hamis toborzók kódolási tesztjei rosszindulatú Python csomagokkal célozzák meg a fejlesztőket
Az ReversingLabs (RL) úgy találta, hogy a VMConnect kampány folytatódik a rosszindulatú szereplőkkel, akik toborzónak adják ki magukat, és csomagokkal, valamint pénzügyi cégek nevével csalogatják a fejlesztőket. A ReversingLabs kutatói új, rosszindulatú szoftvercsomagokat azonosítottak, amelyekről úgy vélik, hogy a VMConnect nevű kampányhoz kapcsolódnak, amelyet az RL először 2023 augusztusában azonosított, és amely kapcsolatban áll az észak-koreai Lazarus Group hackercsoporttal. Az új mintákat olyan GitHub-projektekben követték nyomon, amelyek korábbi, célzott támadásokhoz kapcsolódtak, amelyekben a fejlesztőket hamis állásinterjúkkal csalogatták. Az észlelt mintákból gyűjtött információk lehetővé tették egy kompromittált fejlesztő azonosítását, és betekintést nyújtottak egy folyamatban lévő kampányba, amelyben a támadók nagy pénzügyi szolgáltató cégek alkalmazottainak adták ki magukat.
2023 augusztusában az RL két kutatási bejegyzést tett közzé, amelyekben leírta a VMConnect kampányt és annak kapcsolatát az észak-koreai Lazarus csoporttal. A Lazarus Csoporttal való kapcsolat a japán CERT által végzett kutatás során gyűjtött információkon alapult. Ahogy a csapat akkoriban írta: Olyan rosszindulatú PyPI csomagokat fedeztek fel, amelyek elég jó utánzatai voltak népszerű, nyílt forráskódú Python eszközöknek. A törvényes eszközökből lemásolt funkcionalitás mellett a kódbázisban jól elrejtve rosszindulatú letöltőfunkciókat is tartalmaztak. A felfedezett minták és a japán CERT által végzett kutatás keretében talált és dokumentált minták közötti kódhasonlóságok alátámasztották, hogy a kampányt az észak-koreai Lazarus csoportnak tulajdonítsák.
