北朝鮮関連の Lazarus ハッカーは偽のコーディングチャレンジを使用して開発者にマルウェアを感染させ、認証情報を盗み、暗号資産ウォレットを枯渇させています。
研究者によれば、このキャンペーンはソフトウェア開発者、特に Web3、ブロックチェーン、および暗号プロジェクトに従事している者をターゲットにしています。攻撃者は採用担当者になりすまし、魅力的な求人を提供し、一見すると通常に見えるテイクホームアセスメントを送信します。
実際のトリックはテストファイル内に隠されています。悪意のあるプロジェクトの中には、VSCode の tasks.json などのエディタ設定内にバックドアが含まれているものがあります。一方、他のプロジェクトはペイロードをコード内に直接隠しています。
したがって、被害者が割り当てを開くか実行すると実行されます。これは、開発者が通常の採用テストのように見えるものをレビューするだけで感染する可能性があることを意味します。
同時に、InvisibleFerret はリモートアクセスに使用される Python バックドアです。新しいバリアントでは、研究者はクリップボード盗難、ブラウザプロフィール検出、リモートシェルコントロールなど、より多くのモジュラー動作を確認しました。
研究者はまた、脅威アクターが生成型 AI を使用して運用を加速させていると述べています。AI ツールは、マルウェアの作成、偽の企業ウェブサイトの構築、採用担当者ペルソナの生成、さらには独自の悪意のあるコードが検出しやすいかどうかの確認に役立つようです。
アナリストは、非常に冗長なコメントや珍しい絵文字の使用など、AI のような兆候をコード内で指摘しました。これは手書きマルウェアではめったにありません。
このグループはまた、詐欺を本物に見せるために AI 支援フロント企業を使用しているようです。これらの偽企業には、感染したコーディングタスクのダウンロードに申請者を誘き込むために設計されたウェブサイト、LinkedIn プロフィール、および求人が含まれています。
一部のサイトは AI ウェブサイトツールで構築されており、全体的な運用をより迅速で安価に実行できます。
このキャンペーンは通常の開発者行動に溶け込んでいるため有効です。NodeJS と Python はソフトウェア開発で一般的であるため、これらの言語の悪意のあるコードはすぐに疑わしく見えないかもしれません。
研究者は、このグループが数千の開発者システムに感染し、大量のウォレットアドレスを収集したと推定しており、運用がステルスよりもボリュームについてであることを示しています。
最善の防御はシンプルです 注意 Expel 開発者は求人テストを信頼できないソフトウェアとして扱い、隠れたスタートアップアクションについてプロジェクトファイルを確認し、何かを実行する前にパッケージの依存関係を検査する必要があります。
セキュリティチームは、特に開発者ツールからの異常なアウトバウンド接続を監視し、既知のコマンドアンドコントロールインフラストラクチャをブロックする必要があります。AI は攻撃者がより迅速にコードを書くのに役立ちますが、それはまた、ディフェンダーが疑わしいコードを実行する前に監査するのに役立ちます。
翻訳元: https://cyberpress.org/lazarus-ai-coding-backdoor-trap/