Hackeri dau false anunțuri de angajare și ascund malware în testele de programare pentru dezvoltatori

O nouă variantă a campaniei de recrutori falși din partea unor hackeri nord-coreeni vizează programatorii ce folosesc JavaScript și Python. Hackerii folosesc teste infestate cu malware cu scopul de a fura criptomonede, potrivit BleepingComputer.

Activitatea se desfășoară cel puțin din mai 2025 și se caracterizează prin modularitate, ceea ce permite atacatorilor să o reia campania în cazul unei compromiteri parțiale.

Infractorii cibernetici se bazează pe pachete software, care acționează ca descărcătoare pentru un troian de acces la distanță (RAT). În total, cercetătorii au găsit 192 de pachete infestate cu malware legate de această campanie, pe care au numit-o „Graphalgo”.

Cercetătorii de la compania de securitate cibernetică ReversingLabs spun că atacatorul creează companii false și publică oferte de locuri de muncă pe diverse platforme, precum LinkedIn, Facebook și Reddit.

Scopul atacatorului este de a face solicitantul să ruleze codul care instalează malware

Dezvoltatorii care aplică pentru locul de muncă trebuie să-și demonstreze abilitățile prin rularea, depanarea și îmbunătățirea unui proiect dat. Cu toate acestea, scopul atacatorului este de a face solicitantul să ruleze codul. Această acțiune ar determina instalarea și executarea unor programe rău intenționate dintr-un depozit legitim.

„Este ușor să creezi astfel de depozite de sarcini de lucru. Atacatorii trebuie doar să ia un proiect legitim simplu și să-l modifice cu o componentă rău intenționată, iar acesta este gata să fie servit țintelor”, afirmă cercetătorii.

Pentru a ascunde natura rău intenționată a dependențelor, hackerii găzduiesc malware-ul pe platforme legitime, precum npm și PyPi.

Într-un caz evidențiat în raportul ReversingLabs, un pachet numit „bigmathutils”, cu 10.000 de descărcări, a fost inofensiv până când a ajuns la versiunea 1.1.0, când a fost infectat cu pachete malware. La scurt timp după aceea, hackerii au eliminat pachetele, marcându-le ca fiind învechite, probabil pentru a ascunde activitatea.

Numele campaniei Graphalgo provine de la pachetele care au „graph” în denumire. De obicei, acestea imită biblioteci legitime și populare, cum ar fi graphlib, spun cercetătorii.
Cu toate acestea, începând din decembrie 2025, atacatorul nord-coreean a trecut la pachete cu „big” în denumire. Cu toate acestea, ReversingLabs nu a descoperit partea de recrutare legate de acestea.

Potrivit cercetătorilor, infractorii cibernetici utilizează Github Organizations, care sunt conturi partajate pentru colaborarea între mai multe proiecte. Ei spun că depozitele GitHub sunt curate, iar codul rău intenționat este introdus indirect prin pachete software găzduite pe alte platforme cum ar fi npm și PyPI, cum sunt pachetele Graphalgo.

Victimele care execută proiectul conform instrucțiunilor din interviu își infectează sistemele cu aceste pachete, care instalează un malware tip RAT pe computerele lor.

Cercetătorii ReversingLabs au identificat mai mulți dezvoltatori care au căzut victime acestor atacuri și i-au contactat pentru mai multe detalii despre procesul de recrutare.

RAT poate lista procesele care rulează pe computerul gazdă, poate executa comenzi conform instrucțiunilor de pe serverul de comandă și control (C2) ce aparține hackerului și poate exfiltra fișiere sau plasa malware suplimentar.

RAT verifică dacă extensia de criptomonede MetaMask este instalată pe browserul victimei, un indiciu clar al scopurilor sale de furt de bani. Comunicarea C2 este protejată prin token pentru a bloca observatorii neautorizați, o tactică obișnuită pentru hackerii nord-coreeni.

ReversingLabs a descoperit mai multe variante scrise în limbajele de programare JavaScript, Python și VBS, ceea ce arată intenția de a acoperi toate țintele posibile.

Cercetătorii atribuie campania grupului Lazarus cu un grad de încredere mediu-ridicat

Cercetătorii atribuie campania falsă de recrutare Graphalgo grupului Lazarus, cu un grad de încredere mediu-ridicat. Concluzia se bazează pe abordare, utilizarea testelor de programare ca vector de infecție și țintirea axată pe criptomonede, toate acestea fiind în concordanță cu activitatea anterioară asociată grupului nord-coreean.

De asemenea, cercetătorii remarcă activarea întârziată a codului rău intenționat din pachete, în concordanță cu răbdarea de care a dat dovadă Lazarus în alte atacuri. În cele din urmă, interacțiunile Git indică fusul orar GMT +9, care corespunde cu ora Coreei de Nord.

Indicatorii compleți de compromis (IoC) sunt disponibili în raportul original. Este recomandat ca dezvoltatorii care au instalat pachetele rău intenționate să schimbe toate token-urile și parolele conturilor și să reinstaleze sistemul de operare.