Geliştiriciler, işe alımcı gibi davranan sofistike siber suçlular tarafından giderek daha fazla hedef alınıyor. Bu saldırganlar, kötü amaçlı yazılımları iletmek için sahte kodlama testleri kullanıyor ve iş arayanların güvenini ve istekliliğini istismar ediyor.
Bu makalede, bu saldırıların mekanikleri, tehdit aktörlerinin kullandığı yöntemler ve geliştiricilerin kendilerini korumak için atabilecekleri adımlar ele alınmaktadır.
Modus Operandi: Saldırılar Nasıl Gerçekleşiyor
Siber suçlular, saygın şirketlerin işe alımcıları gibi görünerek geliştiricilerin sistemlerine sızmak için kurnazca bir strateji geliştirdiler. LinkedIn gibi profesyonel ağ platformları aracılığıyla potansiyel kurbanlara ulaşarak cazip iş fırsatları sunuyorlar.
İşe alım sürecinin bir parçası olarak geliştiricilerden, aslında kötü amaçlı yazılım dağıtımının araçları olan kodlama değerlendirmelerini tamamlamaları isteniyor.
Kodlama Testlerinin Cazibesi
Sahte kodlama testleri, meşru beceri değerlendirmeleri olarak ustaca gizlenmiştir. Örneğin, ReversingLabs’ın bir raporuna göre, “Python_Skill_Assessment.zip” veya “Python_Skill_Test.zip” gibi isimlere sahip arşivler, şüphesiz geliştiricileri cezbetmek için kullanılıyor.
Bu arşivler, adayları herhangi bir değişiklik yapmadan önce kodun doğru şekilde çalıştığından emin olmak için kodu yürütmeye teşvik eden ayrıntılı talimatlar içeren README dosyaları içerir. Bu adım, gömülü kötü amaçlı yazılımın yürütülmesini tetiklediği için saldırganlar için çok önemlidir.
Kötü Amaçlı Yazılım Dağıtımı
Kötü amaçlı yazılım genellikle derlenmiş Python dosyalarında (PYC) gizlenir ve bu da tespit edilmesini zorlaştırır. Bu dosyalar ikili bir biçimde paketlenir ve bu da onları özel araçlar olmadan okunamaz hale getirir.
Kötü amaçlı kod genellikle gerçek doğasını gizleyen bir yöntem olan Base64’te kodlanır. Kötü amaçlı yazılım yürütüldüğünde bir komut ve kontrol (C2) sunucusuyla iletişim kurar ve saldırganların tehlikeye atılan sistemde daha fazla komut yürütmesine olanak tanır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Bu saldırı stratejisinin kritik bir unsuru aciliyet yaratmaktır. README dosyaları genellikle kodlama görevlerini tamamlamak için sıkı son tarihler içerir ve geliştiricileri hızlı ve yeterli inceleme olmadan hareket etmeye zorlar.
Bu psikolojik baskı, geliştiricilerin sözde işe alımcının taleplerini karşılamak için acele etmesiyle kötü amaçlı yazılımın çalıştırılma olasılığını artırıyor.
Hilelerine meşruiyet katmak için saldırganlar, tanınmış finansal hizmetler şirketlerini taklit ediyor. Örneğin, “Capital One” veya “RookeryCapital” gibi şirketlerin adını taşıyan arşivler kullanıyorlar. Bu taktik yalnızca güvenilirlik sağlamakla kalmıyor, aynı zamanda prestijli iş fırsatları arayan geliştiricilerin isteklerini de hedef alıyor.
Bu saldırıların sonuçları ciddi olabilir. Kötü amaçlı yazılım yürütüldüğünde, arka kapılar ve bilgi hırsızları gibi ek kötü amaçlı yazılımlar yüklenebilir.
Bu araçlar saldırganların geliştiricinin sistemine yerleşmesini sağlayarak daha geniş çaplı bir ağa sızma ve veri hırsızlığına yol açabilir.
Hedefleme Kanıtı
Bazı durumlarda araştırmacılar saldırıları belirli kurbanlara kadar takip ettiler. Örneğin, kötü amaçlı bir pakette keşfedilen bir yapılandırma dosyası, orijinal GitHub deposunun URL’sini içeriyordu ve bu da hedeflenen bir geliştiricinin tanımlanmasına yol açtı.
Bu durum, söz konusu saldırıların kişiselleştirilmiş yapısını ve tehdit aktörlerinin gelişmişliğini ortaya koyuyor.
Daha Geniş Tehdit Manzarası
Bu saldırılar, siber suçluların ve ulus devlet aktörlerinin hassas ağlara sızmak için geliştiricileri hedef aldığı daha geniş bir eğilimin parçasıdır.
Kuzey Kore ile ilişkilendirilen kötü şöhretli Lazarus Group’un bu kampanyaların bazılarının arkasında olduğuna inanılıyor. Finansal kazanç ve kripto para hırsızlığına odaklanmaları, söz konusu yüksek riskleri vurguluyor.
Bu kampanyalar açığa çıkmasına rağmen gelişmeye devam ediyor. Yeni kötü amaçlı depolar düzenli olarak ortaya çıkıyor ve bu da tehdidin aktif kaldığını gösteriyor. Geliştiriciler ve kuruluşlar bu karmaşık saldırılara karşı savunmada dikkatli ve proaktif olmalıdır.
Bu tehditlere karşı korunmak için geliştiriciler istenmeyen iş teklifleri ve kodlama testleri ile uğraşırken dikkatli olmalıdır. Kuruluşlar, personelini riskler hakkında eğitmeli ve olası tehditleri tespit edip azaltmak için sağlam güvenlik önlemleri uygulamalıdır.
Teknoloji topluluğu, bilgili ve uyanık kalarak bu aldatıcı ve zararlı saldırılara karşı daha iyi savunma sağlayabilir. Sahte işe alımcı kodlama testlerinin yükselişi, siber suçluların sürekli gelişen taktiklerinin çarpıcı bir hatırlatıcısıdır.
Geliştiriciler, bu saldırıların mekaniğini anlayarak ve proaktif adımlar atarak sistemlerini ve verilerini kötü niyetli aktörlerden koruyabilirler.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!