朝鲜黑客组织Lazarus以Python开发人员为目标,冒充招聘人员,引诱他们完成所谓的密码管理项目的编码测试。这些测试是更广泛的“VMConnect活动”的一部分,该活动于2023年8月首次被发现,涉及上传到PyPI仓库的恶意Python包。根据ReversingLabs的说法,黑客在GitHub上托管项目,其中README文件提供了详细说明,营造出专业和紧迫的错觉。来源。
进一步的调查显示,Lazarus冒充Capital One等美国大型银行来吸引候选人,通常通过LinkedIn与他们接触。考生被指示查找并修复密码管理器应用程序中的错误并提交作业,这需要他们运行恶意文件(“PasswordManager.py”)。此文件会触发隐藏在某些库的“_init_.py”文件中的base64混淆模块,该模块充当恶意软件下载器,连接到命令和控制服务器,从而可能获取并执行其他恶意负载。