El grupo de hackers norcoreano Lazarus ha lanzado una sofisticada campaña de ciberataques dirigida a desarrolladores Python, utilizando una falsa prueba de código para un gestor de contraseñas como señuelo. Esta operación, conocida como «campaña VMConnect», forma parte de una serie de ataques que comenzaron en agosto de 2023.
Metodología del ataque
Los atacantes, haciéndose pasar por reclutadores de importantes bancos estadounidenses como Capital One, contactan a los desarrolladores principalmente a través de LinkedIn. Ofrecen atractivas oportunidades de empleo y dirigen a las víctimas a proyectos maliciosos alojados en GitHub.
La trampa del gestor de contraseñas
El proyecto malicioso se presenta como una prueba de código para un gestor de contraseñas. Los desarrolladores reciben instrucciones para:
- Ejecutar la aplicación ‘PasswordManager.py’ en sus sistemas.
- Encontrar y corregir un error en el código.
- Enviar la corrección junto con una captura de pantalla como prueba.
Estrategia de presión temporal
Para evitar que las víctimas examinen detenidamente el código, los atacantes imponen límites de tiempo estrictos:
- 5 minutos para construir el proyecto
- 15 minutos para implementar la corrección
- 10 minutos para enviar el resultado final
Esta presión temporal busca que los desarrolladores omitan las comprobaciones de seguridad que podrían revelar el código malicioso.
Mecanismo de infección
El archivo malicioso ‘PasswordManager.py’ activa la ejecución de un módulo oculto en los archivos ‘init.py’ de las bibliotecas ‘pyperclip’ y ‘pyrebase’. Este módulo, ofuscado en base64, es en realidad un descargador de malware que se conecta a un servidor de comando y control (C2) para recibir instrucciones adicionales.
Estado actual de la campaña
Según ReversingLabs, la empresa de seguridad que ha seguido esta campaña durante más de un año, hay evidencias de que los ataques seguían activos hasta el 31 de julio y se cree que la operación continúa en curso.
Recomendaciones de seguridad
Para protegerse contra este tipo de ataques, los desarrolladores deben:
- Verificar cuidadosamente la identidad de los reclutadores y confirmar la legitimidad de las ofertas de trabajo con las empresas mencionadas.
- Tomar el tiempo necesario para revisar minuciosamente cualquier código recibido.
- Ejecutar código desconocido solo en entornos seguros, como máquinas virtuales o aplicaciones de sandbox.
Este incidente subraya la importancia de mantener una actitud vigilante en el ámbito del desarrollo de software, especialmente cuando se trata de oportunidades laborales que parecen demasiado buenas para ser verdad.
vía: BC