Peneliti cybersecurity telah menemukan serangkaian paket Python berbahaya yang menargetkan pengembang perangkat lunak dengan kedok penilaian koding.
“Sampel baru ini dilacak ke proyek GitHub yang terkait dengan serangan terarah sebelumnya di mana pengembang dijebak menggunakan wawancara kerja palsu,” ujar peneliti ReversingLabs, Karlo Zanki.
Aktivitas ini dinilai sebagai bagian dari kampanye berkelanjutan yang disebut VMConnect yang pertama kali terungkap pada Agustus 2023. Ada indikasi bahwa ini adalah hasil kerja dari Lazarus Group yang didukung oleh Korea Utara.
Penggunaan wawancara kerja sebagai vektor infeksi telah banyak diadopsi oleh aktor ancaman dari Korea Utara, baik dengan mendekati pengembang yang tidak curiga di situs seperti LinkedIn atau menipu mereka untuk mengunduh paket berbahaya sebagai bagian dari tes keterampilan palsu.
Paket-paket ini, di sisi lain, telah dipublikasikan langsung di repositori publik seperti npm dan PyPI, atau di-host di repositori GitHub di bawah kendali mereka.
ReversingLabs mengatakan telah mengidentifikasi kode berbahaya yang tertanam dalam versi modifikasi dari pustaka PyPI yang sah seperti pyperclip dan pyrebase.
“Kode berbahaya tersebut hadir dalam file init.py dan file Python yang telah dikompilasi (PYC) yang sesuai di dalam direktori pycache dari modul terkait,” jelas Zanki.
Kode ini diimplementasikan dalam bentuk string yang dienkode dalam Base64 yang menyembunyikan fungsi downloader, yang membangun kontak dengan server command-and-control (C2) untuk mengeksekusi perintah yang diterima sebagai respons.
Dalam salah satu contoh tugas koding yang diidentifikasi oleh perusahaan rantai pasokan perangkat lunak, aktor ancaman mencoba menciptakan rasa urgensi palsu dengan meminta pencari kerja untuk membangun proyek Python yang dibagikan dalam bentuk file ZIP dalam lima menit dan menemukan serta memperbaiki cacat koding dalam 15 menit berikutnya.
Hal ini membuat “kemungkinan besar bahwa mereka akan mengeksekusi paket tanpa melakukan tinjauan keamanan atau bahkan tinjauan kode sumber terlebih dahulu,” kata Zanki, menambahkan bahwa “hal ini memastikan bahwa aktor jahat di balik kampanye ini dapat mengeksekusi malware yang tertanam pada sistem pengembang.”
Beberapa tes yang disebutkan sebelumnya mengklaim sebagai wawancara teknis untuk lembaga keuangan seperti Capital One dan Rookery Capital Limited, menekankan bagaimana aktor ancaman meniru perusahaan-perusahaan sah di sektor ini untuk menjalankan operasi mereka.
Saat ini, belum jelas seberapa luas kampanye ini, meskipun target prospektif dicari dan dihubungi melalui LinkedIn, seperti yang juga baru-baru ini disoroti oleh Mandiant milik Google.
“Setelah percakapan awal di chat, penyerang mengirimkan file ZIP yang berisi malware COVERTCATCH yang disamarkan sebagai tantangan koding Python, yang mengkompromikan sistem macOS pengguna dengan mengunduh malware tahap kedua yang bertahan melalui Launch Agents dan Launch Daemons,” kata perusahaan tersebut.
Perkembangan ini muncul saat perusahaan cybersecurity Genians mengungkapkan bahwa aktor ancaman Korea Utara yang diberi nama sandi Konni sedang meningkatkan serangannya terhadap Rusia dan Korea Selatan dengan menggunakan jebakan spear-phishing yang mengarah pada penerapan AsyncRAT, dengan tumpang tindih yang diidentifikasi dengan kampanye yang diberi nama sandi CLOUD#REVERSER (alias puNK-002).
Beberapa serangan ini juga melibatkan penyebaran malware baru bernama CURKON, sebuah file shortcut Windows (LNK) yang berfungsi sebagai downloader untuk versi AutoIt dari Lilith RAT. Aktivitas ini telah dikaitkan dengan sub-kluster yang dilacak sebagai puNK-003, menurut S2W.
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
Developers Beware: Lazarus Group Uses Fake Coding Tests to Spread Malware, The Hacker News.
Baca Juga : Microsoft Rilis Patch untuk 79 Kerentanan, Termasuk 3 Flaw Windows yang Aktif Dieksploitasi
