Hackers utilizam teste de codificação para infectar desenvolvedores Python com malware

O ataque faz parte de uma campanha chamada “VMConnect”, comandada pelo grupo norte-coreano Lazarus, que tem se passado por recrutadores para atrair os desenvolvedores.

Segundo uma empresa de segurança, os hackers hospedam projetos maliciosos no GitHub, onde as vítimas encontram arquivos README que fornecem instruções detalhadas para completar o teste, criando uma falsa impressão de legitimidade e urgência no processo. Para chamar a atenção dos candidatos, o grupo se apresenta como grandes instituições financeiras dos EUA, como o Capital One, provavelmente oferecendo benefícios atraentes. Há indícios de que o grupo aborda seus alvos diretamente pelo LinkedIn.

O teste malicioso direciona os desenvolvedores a identificar e corrigir um bug em um aplicativo de gerenciador de senhas. No entanto, antes de iniciar, o README instrui as vítimas a executarem o aplicativo "PasswordManager.py", que contém código malicioso, e aciona um módulo ofuscado em base64, escondido nos arquivos ‘init.py’ das bibliotecas ‘pyperclip’ e ‘pyrebase’, conectando-se a um servidor de comando e controle (C2), que pode buscar e executar outras cargas de malware.

Para evitar que os candidatos investiguem os arquivos em busca de códigos suspeitos, o README impõe prazos apertados, com cinco minutos para compilar o projeto, 15 minutos para corrigir o erro e 10 minutos para enviar o resultado final.

Desenvolvedores que recebem convites para vagas de emprego no LinkedIn ou em outras plataformas devem estar atentos a possíveis fraudes. Deve-se verificar a identidade do recrutador e confirmar com a empresa se o processo de seleção é legítimo, além de executar qualquer código somente em ambientes seguros, como máquinas virtuais ou sandboxing.