新的恶意软件包与朝鲜的Lazarus集团相关联

重点摘要

近期，研究人员发现一款新的恶意软件，伪装成Capital One招聘开发者的Python编程技能测试，实际则与嵌入恶意代码的GitHub项目有关。这一行动是朝鲜Lazarus集团的又一轮网络攻击，利用开发者寻求工作的心理，诱使其下载含有恶意代码的软件包。

根据ReversingLabs在9月10日的博客文章，研究人员解释称，该计划是对VMConnect行动的延续。该行动最初于2023年8月被识别，开发者在伪造的面试中被诱骗下载恶意代码。

在最近的这一攻击中，威胁行为者发出的指示设置了完成任务的时间框架，要求开发者找到软件包中的代码缺陷并进行修复。研究人员指出，这种策略明显旨在制造紧迫感，使求职者更可能下载恶意软件包。

Salt Security的网络安全战略总监Eric Schwake表示，这次攻击利用了开发者展现技能的自然愿望。它使用代码审查和评估的合法过程，增加了识别恶意活动的难度。

“下载和运行代码是开发者工作流程的基础部分，使得在日常操作中发现恶意活动更加困难，”Schwake说。 “开发者通常具有访问源代码、敏感数据和生产环境的特权，因此一旦开发者受到攻击，将会导致严重的后果。”

Menlo Security的网络安全专家Ngoc Bui补充道，这种感染链与朝鲜的典型战术、技术和程序高度一致。

Bui建议，如果安全团队认为Lazarus对其组织构成威胁，建立专门的威胁情报团队以主动监视其活动，可以为其提供战略优势。虽然这可能无法阻止每一次攻击，但Bui指出，持续跟踪可以实现早期发现，增加团队在造成重大损害之前减轻威胁的机会。

海鸥加速器最新版本

Bui还提到：“一些先前的攻击，如与Lazarus集团相关的2023年VMConnect行动，利用恶意PyPI软件包伪装成合法工具。之前还观察到使用伪造招聘者的LinkedIn账户和通过CHM文件传送恶意软件的技术。同时，恶意Python软件包、编码下载器函数和虚假的求职面试等重叠的TTPs也在攻击中出现。”

攻击行为描述恶意软件伪装伪装成编程技能测试吸引开发者紧迫感制造设置 deadline强迫下载代码审查利用难以检测的合法过程

这种新的网络攻击凸显了求职者在应聘过程中面临的潜在风险，企业和开发者需保持警惕，加强网络安全防护。