Un nouveau rapport rvle que de faux tests de codage de recruteurs ciblent les dveloppeurs avec des paquets Python malveillants. Les chercheurs de ReversingLabs ont dcouvert que la campagne VMConnect se poursuivait avec des acteurs malveillants se faisant passer pour des recruteurs, utilisant des paquets et des noms d’entreprises financires pour attirer les dveloppeurs.
Depuis des annes, le groupe Lazarus, acteur de menaces parrain par l’tat nord-coren, cre de faux comptes LinkedIn et publie de fausses offres d’emploi sur internet. Ils proposent leurs victimes, souvent des dveloppeurs, des offres allchantes, des salaires levs et de nombreux avantages. Mais au lieu d’obtenir le poste, aprs quelques entretiens, la seule chose que ces personnes obtiennent, ce sont des logiciels malveillants, souvent partir de fichiers .PDF qui se font passer pour des informations sur le poste et autres.
Aujourd’hui, des chercheurs en cyberscurit de ReversingLabs affirment que Lazarus continue de faire la mme chose, mais qu’il cible dsormais les dveloppeurs Python avec un faux projet de test de codage. Le rapport montre que le groupe Lazarus fait voluer sa campagne de piratage « faux emplois ».
Liste des fichiers pour le test d’entretien
Apparemment, le groupe commencerait toujours de la mme manire – en se faisant passer pour quelqu’un sur LinkedIn. Dans le rapport, il s’agit de la banque Capital One. Il hberge ensuite le logiciel malveillant sur GitHub, en le faisant passer pour un projet de gestionnaire de mot de passe. Ensuite, ils trouvaient des victimes convenables et, un moment donn, leur demandaient de tester leurs comptences.
Le « test » comprend le tlchargement et l’installation du gestionnaire de mots de passe, puis la « chasse » aux bogues. Le tout doit tre termin en moins d’une demi-heure. Les escrocs prtendent que cette limite empche les candidats de tricher, mais ReversingLabs affirme que c’est pour empcher les victimes de reprer la ruse et d’agir en consquence.
Le logiciel malveillant agit comme un tlchargeur, permettant aux attaquants de dployer des codes malveillants secondaires, en fonction de l’environnement compromis. La campagne est baptise « VMConnect campaign » et est active depuis aot 2023, soit depuis plus d’un an. ReversingLabs pense que la campagne est toujours en cours.
Les Nord-Corens s’en prennent gnralement aux dveloppeurs qui travaillent sur des projets de cryptomonnaies, car cela leur permet de voler l’argent des gens et de l’utiliser pour financer l’appareil d’tat et le programme d’armement du pays. L’un des plus gros casses de Lazarus leur a rapport plus d’un demi-milliard de dollars.
Les messages dans les fichiers du test
Voici les conclusions du rapport de ReversingLabs :
L’une des conclusions videntes de nos dernires dcouvertes et de la campagne VMConnect prcdemment documente est que « cette histoire n’est pas termine ». Nos recherches ont rvl la poursuite d’activits malveillantes ciblant les dveloppeurs travaillant au sein d’organisations sensibles, avec des paquets Python malveillants qui refltent troitement les types de menaces documentes en 2023 dans le cadre de la campagne VMConnect. Comme nous l’avons not, les dtails rvls par notre analyse des paquets en question montrent clairement que les acteurs malveillants ciblaient les dveloppeurs et cherchaient installer des tlchargeurs malveillants sur les systmes des dveloppeurs, capables d’aller chercher des logiciels malveillants de deuxime et troisime stade, tels que des portes drobes et des voleurs d’informations.
Tout comme les pices jointes malveillantes envoyes par courrier lectronique ou par des liens Internet, les paquets de « test » pour dveloppeurs envoys par LinkedIn DM ont probablement permis de prendre pied sur les terminaux des dveloppeurs et, par la suite, d’exploiter les autorisations des dveloppeurs pour se dplacer latralement et exploiter d’autres actifs informatiques de plus grande valeur.
Les campagnes de ce type, qui s’appuient sur des progiciels et des plateformes open source pour cibler les dveloppeurs, sont de plus en plus rpandues parmi les groupes de cybercriminels et d’tats-nations sophistiqus. Le groupe Lazarus de Core du Nord, qui serait l’origine de cette campagne, est un bon indicateur de l’volution de ces menaces. Lazarus est un acteur de menace avanc et trs actif qui se concentre sur les gains financiers et le vol de cryptomonnaies au profit du gouvernement de la Core du Nord. Les rapports sur les menaces manant d’autres groupes de recherche montrent que Lazarus et d’autres acteurs nord-corens utilisent un large ventail de moyens offensifs pour atteindre leurs objectifs, notamment en ciblant les dveloppeurs et les organisations de dveloppement afin d’infiltrer des rseaux sensibles.
Pour faire face ce risque croissant, les organisations doivent tre l’afft de ces tlchargements et apprendre leurs dveloppeurs et leur personnel technique se mfier de toute tentative visant les inciter tlcharger et excuter sur leur systme un code provenant d’une source inconnue.
Source : Rapport de ReversingLabs
Et vous ?
Pensez-vous que ce rapport est crdible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :