Kuzey Kore’nin Lazarus Grubu ile bağlantılı olduğundan şüphelenilen devam eden bir kampanyada, kötü niyetli aktörler geliştiricileri kötü amaçlı yazılımları indirmeye ve çalıştırmaya kandırmak için sahte iş görüşmeleri ve kodlama testleri kullanıyor. VMConnect olarak adlandırılan kampanya, Ağustos 2023’ten beri gözlemleniyor ve artık Python geliştiricilerine yönelik birkaç hedefli saldırıyla ilişkilendirildi.
Python Geliştiricileri İçin Sahte Kodlama Testleri
Bu kötü niyetli aktörler, geliştiricileri kötü amaçlı yazılım indirmeye ikna etmek için Capital One gibi büyük ABD şirketleri de dahil olmak üzere tanınmış finansal hizmetler şirketlerinden işe alımcılar gibi davrandılar. Saldırganlar, kurbanları kötü amaçlı yazılımı çalıştırmaya kandırmak için sahte iş görüşmeleri ve kodlama testleri kullandılar; bu kötü amaçlı yazılım genellikle derlenmiş Python dosyalarında gizlenir veya arşivlere gömülür. Kötü amaçlı yazılım daha sonra önbelleğe alınmış, derlenmiş dosyadan çalıştırılır ve bu da tespit edilmesini zorlaştırır.
ReversingLabs araştırmacıları saldırganların kötü amaçlı kodlarını barındırmak için GitHub depolarını ve açık kaynaklı kapsayıcıları kullandığını tespit etti. Kodun genellikle bir kodlama becerileri testi veya bir parola yöneticisi uygulaması olarak gizlendiği ve kurbanları kötü amaçlı yazılımı çalıştırmaya kandırmak için talimatlar içeren README dosyalarının koda eşlik ettiği bulundu. Bu dosyalar genellikle “Python_Skill_Assessment.zip” veya “Python_Skill_Test.zip” gibi adlar kullanıyordu.
Kötü amaçlı yazılımın, indirici kodunu gizlemek için Base64 kodlu değiştirilmiş pyperclip ve pyrebase modül dosyalarında bulunduğunu keşfettiler. Kod, Python komutlarını yürütmek için bir C2 sunucusuna HTTP POST istekleri gönderen VMConnect kampanyasının önceki yinelemelerinde gözlemlenen kodla aynıydı.
Tanımlanmış Mağdur
Bir örnekte, araştırmacılar Capital One’dan bir işe alım uzmanı gibi davranan kötü niyetli bir aktörün kurbanı olan tehlikeye atılmış bir geliştiriciyi tespit edebildiler. Geliştiriciye bir LinkedIn profilinden ulaşılmış ve bir ödev görevi olarak bir GitHub deposuna bağlantı verilmişti, değişiklikleri zorlaması istendiğinde, sahte işe alım uzmanı ona görevin tamamlandığını kanıtlayan ekran görüntüleri paylaşmasını söyledi.
Güvenlik araştırmacıları daha sonra .git klasöründeki günlük dizinine erişim sağlamayı başardılar. Bu günlük dizininde, deponun klonunu oluşturan ve gerekli özelliği uygulayan geliştiricinin tam adı ve e-posta adresi yer alıyordu.
Araştırmacılar daha sonra geliştiriciyle iletişime geçerek Ocak 2024’te kötü amaçlı yazılımla enfekte olduğunu doğruladılar. Geliştirici, ödev görevi kapsamında kötü amaçlı kod çalıştırıldığından habersizdi.
Tespit edilen olay birkaç ay öncesine dayansa da araştırmacılar kampanyanın devam ettiğine inanmak için yeterli kanıt ve faaliyet olduğuna inanıyor. 13 Temmuz’da, önceki olayda kullanılanlarla eşleşen ancak farklı bir hesap adı altında yeni yayınlanmış bir GitHub deposuyla karşılaştılar.
Daha fazla araştırma yapan araştırmacılar, uykuda olan GitHub hesabının kurbanla temas kurdukları gün tekrar canlandığını gözlemlediler ve tehdit aktörünün enfekte olmuş geliştiricinin iletişimlerine hala erişim sağlamış olabileceğine inanıyorlar. Araştırmacılar ayrıca, temas kurulan geliştiricinin kurban olmaktan ziyade kötü amaçlı kampanyayla olası bağlantıları olabileceğine inanıyorlar.
Araştırmacılar şüpheli GitHub hesabını bildirerek hesabın kapatılmasına yol açmış olsalar da, zaman zaman gözlemlenen yeni kötü amaçlı örnekler ve projeler ortaya çıkması nedeniyle bunu aktif bir kampanya olarak etiketlemeyi tercih ettiler.