Redazione RHC : 14 Settembre 2024 12:06
Gli analisti di ReversingLabs avvertono che i membri del gruppo di hacker nordcoreano Lazarus si spacciano per reclutatori e offrono agli sviluppatori Python il compito di svolgere compiti di test presumibilmente legati allo sviluppo di un falso gestore di password. In effetti, non esiste un gestore di password e tali attività contengono solo del malware.
Secondo i ricercatori, gli attacchi fanno parte della campagna VMConnect, scoperta nell’agosto 2023. Successivamente gli aggressori prendono di mira gli sviluppatori, utilizzando pacchetti Python dannosi caricati nel repository PyPI.
Secondo il rapporto che monitora questa campagna da più di un anno, i partecipanti a Lazarus stanno ora pubblicando i loro progetti dannosi su GitHub, dove le vittime possono anche trovare file README con le istruzioni su come completare l'”attività di test”. Inoltre, le istruzioni sono scritte in modo tale che tutto appaia professionale, legittimo e crei anche l’impressione di urgenza.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
In questo caso gli aggressori si fingono grandi banche americane, tra cui Capital One e Rookery Capital Limited, per attirare l’attenzione dei candidati e probabilmente offrono loro condizioni e pacchetti di servizi interessanti. Le vittime hanno detto ai ricercatori che i membri di Lazarus in genere si connettono con i loro obiettivi tramite LinkedIn.
Come test, gli aggressori hanno chiesto alle loro vittime di trovare un errore in un falso gestore di password, inviare la loro soluzione e fornire screenshot come prova.
Il file README per questa “attività di test” richiedeva alle vittime di eseguire prima un’applicazione di gestione delle password dannosa (PasswordManager.py) sul proprio sistema, quindi di iniziare a cercare i bug e risolverli.
Se l’utente non si accorgesse del problema ed eseguisse il file, ciò causerebbe l’esecuzione di un modulo base64 offuscato nascosto nei file _init_.py delle librerie pyperclip e pyrebase. La stringa offuscata è il loader del malware, che contattava il proprio server di comando e controllo e attende ulteriori comandi.
Per garantire che gli utenti non controllino i file di progetto alla ricerca di malware o codice offuscato, le istruzioni nel file README indicano di completare rapidamente l’attività: 5 minuti per creare il progetto, 15 minuti per implementare la patch e altri 10 minuti per inviare il file risultato finale al “reclutatore”.
Apparentemente, tutto ciò avrebbe dovuto confermare l’esperienza della vittima nel lavorare con progetti Python e GitHub, ma in realtà gli hacker criminali hanno semplicemente costretto gli utenti a rifiutare qualsiasi controllo di sicurezza in grado di rilevare codice dannoso.
I ricercatori notano che questa campagna era attiva dal 31 luglio 2024 e rimane attiva oggi.
Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...
Noi di Red Hot Cyber lo diciamo da tempo: affidarsi esclusivamente a infrastrutture critiche gestite da enti statunitensi è un rischio per l’autonomia strategica europea. È anni che s...
A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...
Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...
Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006