10 de octubre de 2024

Pocas cosas son más agotadoras que encontrar un nuevo empleo, pero aún peor es cuando un posible nuevo empleador resulta ser falso y, en cambio, está utilizando una aparente oportunidad laboral como una forma de infectarte con malware. Según un informe de Reversing Labs , una empresa líder en ciberseguridad, esto les ha estado sucediendo a los desarrolladores de Python por cortesía de piratas informáticos norcoreanos durante aproximadamente un año y es probable que continúe.

Estos ataques particulares del equipo de hackers norcoreano financiado por el estado Lazarus Group son nuevos, pero la campaña general de malware contra la comunidad de desarrollo de Python ha estado en marcha desde al menos agosto de 2023, cuando varias herramientas populares de código abierto de Python fueron duplicadas maliciosamente con malware añadido. Ahora, sin embargo, también hay ataques que involucran «pruebas de codificación» que solo existen para lograr que el usuario final instale malware oculto en su sistema (inteligentemente oculto con codificación Base64) que permite la ejecución remota una vez presente. La capacidad de explotación en ese punto es prácticamente ilimitada, debido a la flexibilidad de Python y cómo interactúa con el sistema operativo subyacente. Este es un buen momento para hacer referencia a PEP 668 , que impone entornos virtuales para instalaciones de Python que no abarcan todo el sistema.

Se desconoce la motivación detrás de estos ataques, pero dado que Lazarus Group es un equipo de piratas informáticos patrocinados por el estado, existe una gran posibilidad de que Corea del Norte simplemente esté haciendo lo que puede para convertirse en una amenaza de seguridad cibernética más internacional . Las víctimas de la comunidad de desarrollo de FOSS y Python no son empleados del gobierno, pero Python se está utilizando más en múltiples industrias.
Es probable que el grupo Lazarus, patrocinado por el estado, no tenga objetivos mayores más allá de simplemente secuestrar máquinas o robar dinero, pero sus ataques a programadores inocentes que buscan trabajo podrían indicar un deseo de sabotear también la fuerza laboral cibernética fuera de Corea del Norte. Reversing Labs también habla de estos ataques dirigidos a desarrolladores de «organizaciones sensibles», no solo a aquellos que buscan trabajo.

Además de detallar cómo funcionan estos ataques, el informe original de Reversing Labs advierte que estos ataques de Lazarus Group son parte de una «campaña activa». De hecho, el mismo día que uno de los usuarios afectados se puso en contacto con ReversingLabs, otra herramienta de explotación apareció en GitHub. Si bien el exploit en cuestión fue eliminado, el momento en que esto ocurrió parece indicar que el usuario que estuvo en contacto con Reversing Labs todavía está comprometido por Lazarus Group y que la publicación fue una respuesta a haber visto las comunicaciones de la víctima sobre el problema.

En la era actual, la ciberseguridad no es simplemente una cuestión de no acceder a sitios web sospechosos: casi todos los gobiernos importantes del mundo tienen piratas informáticos patrocinados por el Estado entre sus empleados. Mientras esos piratas informáticos puedan recolectar dinero o información para su gobierno, lo harán aprovechando cualquier posible brecha de ciberseguridad, incluidas, lamentablemente, las falsas oportunidades de empleo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *