【安全资讯】假招聘者利用恶意Python包攻击开发者，朝鲜黑客组织Lazarus再现

概要：

ReversingLabs最新报告揭示了一场针对开发者的复杂网络攻击活动。该活动由朝鲜的Lazarus Group发起，通过假招聘者手段分发恶意Python包，旨在攻击开发者并进一步入侵高价值系统。此次攻击活动始于2023年，并在2024年继续活跃。

主要内容：

ReversingLabs的研究人员发现，Lazarus Group通过假冒知名金融机构的招聘者，诱骗开发者参加虚假的职位面试。在面试过程中，候选人被要求完成编码测试，这些测试伪装成Python技能评估，实则包含恶意代码。这些恶意代码通过GitHub等公共平台分发，通常以Python_Skill_Test.zip或PasswordManager.zip等无害名称出现。

这些压缩包内含有详细的README文件，指导开发者执行代码并修复所谓的错误。开发者在执行这些代码时，无意中运行了恶意代码，导致系统被进一步利用。恶意代码隐藏在编译后的Python文件（PYC）中，使传统扫描工具难以检测。一旦执行，恶意代码会作为下载器运行，向命令与控制（C2）服务器发送Base64编码的命令，并接收额外的有效负载，如后门程序或信息窃取工具。

攻击者假扮为知名金融机构的员工，通过LinkedIn联系受害者，伪装成这些公司的招聘者。受害者在简短互动后，会收到包含恶意Python编码测试的GitHub链接或压缩文件。这种方法利用了受害者对知名品牌的信任以及开发者求职的行为习惯。由于急于完成这些编码测试，开发者往往会忽略安全检查，从而落入攻击者的陷阱。

ReversingLabs确认该攻击活动仍在进行中。2024年7月31日，他们发现了一个新发布的GitHub仓库，包含与之前VMConnect活动中发现的类似恶意代码。这表明Lazarus Group正在继续改进和重复使用其战术，针对各行业的开发者。此次攻击活动的长期性和持续性，突显了朝鲜国家支持的黑客组织对全球组织构成的持久威胁。