Siber güvenlik araştırmacıları, kodlama değerlendirmeleri kisvesi altında yazılım geliştiricileri hedef alan yeni bir kötü amaçlı Python paketi kümesini ortaya çıkardı.
ReversingLabs araştırmacısı Karlo Zanki, “Yeni örnekler, geliştiricilerin sahte iş görüşmeleriyle kandırıldığı önceki hedefli saldırılarla bağlantısı olan GitHub projelerine kadar takip edildi” dedi.
Faaliyetin, ilk olarak Ağustos 2023’te gün yüzüne çıkan VMConnect adlı devam eden bir kampanyanın parçası olduğu değerlendirildi. Bunun, Kuzey Kore destekli Lazarus Grubu’nun işi olduğuna dair belirtiler var.
İş görüşmelerinin bir enfeksiyon vektörü olarak kullanılması, Kuzey Koreli tehdit aktörleri tarafından yaygın bir şekilde benimsenmiştir; ya LinkedIn gibi siteler üzerinden şüphesiz geliştiricilere yaklaşmakta ya da sözde bir beceri testinin parçası olarak onları sahte paketleri indirmeye kandırmaktadırlar.
Bu paketler, ya doğrudan npm ve PyPI gibi herkese açık depolarda yayınlanmış ya da kendi kontrolleri altındaki GitHub depolarında barındırılmıştır.
ReversingLabs, pyperclip ve pyrebase gibi meşru PyPI kütüphanelerinin değiştirilmiş versiyonlarının içine gömülü kötü amaçlı kod tespit ettiğini açıkladı.
Zanki, “Kötü amaçlı kod hem __init__.py dosyasında hem de ilgili modüllerin __pycache__ dizinindeki ilgili derlenmiş Python dosyasında (PYC) mevcuttur” dedi.
Bir komut-kontrol (C2) sunucusuyla bağlantı kurarak yanıt olarak alınan komutları yürütmek için bir indirme işlevini gizleyen Base64 kodlu bir dize biçiminde uygulanır.
Yazılım tedarik zinciri firmasının tespit ettiği kodlama görevinin bir örneğinde, tehdit aktörleri, iş arayanlardan beş dakika içinde ZIP dosyası biçiminde paylaşılan bir Python projesi oluşturmalarını ve sonraki 15 dakika içinde bir kodlama hatasını bulup düzeltmelerini isteyerek sahte bir aciliyet duygusu yaratmaya çalıştı.
Zanki, “Bu, söz konusu kişinin herhangi bir güvenlik veya kaynak kodu incelemesi yapmadan paketi çalıştırmasını daha olası hale getiriyor” dedi ve ekledi: “Bu, bu kampanyanın arkasındaki kötü niyetli aktörlerin gömülü kötü amaçlı yazılımın geliştiricinin sisteminde çalıştırılacağından emin olmasını sağlıyor.”
Yukarıda bahsi geçen testlerden bazılarının Capital One ve Rookery Capital Limited gibi finans kuruluşlarına yönelik teknik bir görüşme olduğu iddia ediliyor ve tehdit aktörlerinin operasyonu gerçekleştirmek için sektördeki meşru şirketleri nasıl taklit ettiklerini vurguluyor.
Bu kampanyaların ne kadar yaygın olduğu henüz bilinmiyor ancak potansiyel hedeflere ulaşmak için LinkedIn kullanılıyor ve bunu Google’a ait Mandiant da yakın zamanda vurguladı.
Şirketten yapılan açıklamada, “İlk sohbet görüşmesinin ardından saldırgan, Python kodlama zorluğu kisvesi altında gizlenmiş COVERTCATCH kötü amaçlı yazılımını içeren bir ZIP dosyası gönderdi ve bu da Launch Agent’lar ve Launch Daemon’lar aracılığıyla varlığını sürdüren ikinci aşama bir kötü amaçlı yazılımı indirerek kullanıcının macOS sistemini tehlikeye attı” denildi.
Gelişme, siber güvenlik şirketi Genians’ın, Konni kod adlı Kuzey Koreli tehdit aktörünün, AsyncRAT’ın konuşlandırılmasına yol açan hedefli kimlik avı yemleri kullanarak Rusya ve Güney Kore’ye yönelik saldırılarını yoğunlaştırdığını ve CLOUD#REVERSER (diğer adıyla puNK-002) kod adlı bir kampanya ile örtüşmelerin tespit edildiğini açıklamasının ardından geldi.
Bu saldırıların bazıları ayrıca Lilith RAT’ın AutoIt sürümü için bir indirici görevi gören bir Windows kısayolu (LNK) dosyası olan CURKON adlı yeni bir kötü amaçlı yazılımın yayılmasını da içeriyor. Etkinlik, S2W’ye göre puNK-003 olarak izlenen bir alt kümeye bağlandı.