Северокорейские хакеры проводят фейковую рекрутинговую кампанию, нацеленную на разработчиков JavaScript и Python, которая скрывает вредоносное программное обеспечение в заданиях по программированию. Эта деятельность продолжается минимум с мая прошлого года.
Злоумышленники используют пакеты, опубликованные в репозиториях npm и PyPI, которые выступают в качестве загрузчиков для троянов удалённого доступа (RAT). В общей сложности исследователи обнаружили 192 вредоносных пакета, связанных с этой кампанией, которая получила название Gragphalgo.
Исследователи ReversingLabs утверждают, что злоумышленник создаёт поддельные компании в секторах блокчейна и криптотрейдинга, публикует объявления о вакансиях на различных платформах, включая LinkedIn, Facebook** и Reddit. От соискателей требуют продемонстрировать свои навыки, запустив, отладив и улучшив заданный проект. Однако таким образом хакеры заставляют кандидата запустить код. Действие приводит к установке и выполнению вредоносного ПО из легитимного репозитория.
В ReversingLabs рассказали, что создание таких хранилищ весьма простое. Злоумышленнику достаточно взять легитимный базовый проект, добавить в него вредоносный пакет и предоставить его жертвам. Чтобы скрыть вредоносный характер, хакеры размещают такие проекты на легитимных платформах.
В одном из случаев пакет под названием bigmathutils, скачанный более 10 тыс. раз, оставался безопасным до версии 1.1.0, в которой появились вредоносные программы. Вскоре после этого злоумышленник удалил пакет, пометив его как устаревший, вероятно, чтобы скрыть свою деятельность.
Наименование Gragphalgo происходит от названий пакетов, в которых присутствует слово graph. Как правило, они имитируют популярные и легитимные библиотеки, такие как graphlib. Однако с декабря прошлого года злоумышленники перешли на пакеты услуг, в названии которых присутствует слово big. При этом ReversingLabs не обнаружила ни части, отвечающей за набор персонала, ни интерфейса рекламной кампании, связанного с этими пакетами.
По словам исследователей, злоумышленник использует GitHub Organizations — общие учётные записи для совместной работы над несколькими проектами. ReversingLabs утверждает, что репозитории GitHub чисты, а вредоносный код внедряется через зависимости, размещённые на npm и PyPI, которые представляют собой пакеты Graphalgo.
Запускающие проекты жертвы заражают свои системы этими пакетами, которые устанавливают вредоносную программу типа RAT. Множество вариантов кода написано на JavaScript, Python и VBS, что свидетельствует о намерении охватить все возможные цели.
Исследователи связывают кампанию по фальшивому рекрутингу с группировкой Lazarus. Этот вывод основан на используемом подходе, применении тестов кода в качестве вектора заражения и ориентации на криптовалюты, что соответствует предыдущей деятельности северокорейских хакеров.
