{"id":1356982,"date":"2024-09-11T22:26:17","date_gmt":"2024-09-11T22:26:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/desarrolladores-tengan-cuidado-el-grupo-lazarus-utiliza-pruebas-de-codificacion-falsas-para-difundir-malware\/"},"modified":"2024-09-11T22:26:22","modified_gmt":"2024-09-11T22:26:22","slug":"desarrolladores-tengan-cuidado-el-grupo-lazarus-utiliza-pruebas-de-codificacion-falsas-para-difundir-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/desarrolladores-tengan-cuidado-el-grupo-lazarus-utiliza-pruebas-de-codificacion-falsas-para-difundir-malware\/","title":{"rendered":"Desarrolladores, tengan cuidado: el grupo Lazarus utiliza pruebas de codificaci\u00f3n falsas para difundir malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de septiembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Desarrollo de software y malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Desarrolladores-tengan-cuidado-el-grupo-Lazarus-utiliza-pruebas-de-codificacion.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Investigadores de ciberseguridad han descubierto un nuevo conjunto de paquetes Python maliciosos que apuntan a desarrolladores de software bajo la apariencia de evaluaciones de codificaci\u00f3n.<\/p>\n<p>&#8220;Las nuevas muestras fueron rastreadas hasta proyectos de GitHub que han sido vinculados a ataques espec\u00edficos anteriores en los que se atrae a los desarrolladores mediante entrevistas de trabajo falsas&#8221;, dijo el investigador de ReversingLabs, Karlo Zanki. <a rel=\"nofollow noopener\" href=\"https:\/\/www.reversinglabs.com\/blog\/fake-recruiter-coding-tests-target-devs-with-malicious-python-packages\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Se ha evaluado que la actividad es parte de una campa\u00f1a en curso denominada VMConnect que sali\u00f3 a la luz por primera vez en agosto de 2023. Hay indicios de que es obra del Grupo Lazarus respaldado por Corea del Norte.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-what-is-a-trust-center\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1725974414_761_Expertos-identifican-tres-grupos-vinculados-a-China-que-estan-detras.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El uso de entrevistas de trabajo como vector de infecci\u00f3n ha sido ampliamente adoptado por actores de amenazas norcoreanos, ya sea acerc\u00e1ndose a desarrolladores desprevenidos en sitios como LinkedIn o enga\u00f1\u00e1ndolos para que descarguen paquetes fraudulentos como parte de una supuesta prueba de habilidades.<\/p>\n<p>Estos paquetes, por su parte, han sido publicados directamente en repositorios p\u00fablicos como npm y PyPI, o alojados en repositorios de GitHub bajo su control.<\/p>\n<p>ReversingLabs dijo que identific\u00f3 c\u00f3digo malicioso incrustado en versiones modificadas de bibliotecas PyPI leg\u00edtimas como <a rel=\"nofollow noopener\" href=\"https:\/\/pypi.org\/project\/pyperclip\/\" target=\"_blank\">clip de pene<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/pypi.org\/project\/pyrebase\/\" target=\"_blank\">base de pira<\/a>.<\/p>\n<p>&#8220;El c\u00f3digo malicioso est\u00e1 presente tanto en el archivo __init__.py como en su correspondiente archivo Python compilado (PYC) dentro del directorio __pycache__ de los respectivos m\u00f3dulos&#8221;, dijo Zanki.<\/p>\n<p>Se implementa en forma de una cadena codificada en Base64 que oculta una funci\u00f3n de descarga, que establece contacto con un servidor de comando y control (C2) para ejecutar comandos recibidos como respuesta.<\/p>\n<p>En un caso de tarea de codificaci\u00f3n identificada por la empresa de cadena de suministro de software, los actores de amenazas buscaron crear una falsa sensaci\u00f3n de urgencia al exigir a los solicitantes de empleo que crearan un proyecto de Python compartido en forma de archivo ZIP en cinco minutos y que encontraran y solucionaran una falla de codificaci\u00f3n en los siguientes 15 minutos.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726093577_922_Desarrolladores-tengan-cuidado-el-grupo-Lazarus-utiliza-pruebas-de-codificacion.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726093577_922_Desarrolladores-tengan-cuidado-el-grupo-Lazarus-utiliza-pruebas-de-codificacion.png\" alt=\"Pruebas de codificaci\u00f3n falsas\" border=\"0\" data-original-height=\"656\" data-original-width=\"1822\" title=\"Pruebas de codificaci\u00f3n falsas\"\/><\/a><\/div>\n<p>Esto hace que &#8220;sea m\u00e1s probable que \u00e9l o ella ejecute el paquete sin realizar ning\u00fan tipo de seguridad o incluso revisi\u00f3n del c\u00f3digo fuente primero&#8221;, dijo Zanki, y agreg\u00f3 que &#8220;eso garantiza a los actores maliciosos detr\u00e1s de esta campa\u00f1a que el malware incorporado se ejecutar\u00e1 en el sistema del desarrollador&#8221;.<\/p>\n<p>Algunas de las pruebas antes mencionadas afirmaban ser una entrevista t\u00e9cnica para instituciones financieras como Capital One y Rookery Capital Limited, lo que subraya c\u00f3mo los actores de amenazas se hacen pasar por empresas leg\u00edtimas del sector para llevar a cabo la operaci\u00f3n.<\/p>\n<p>Actualmente no est\u00e1 claro cu\u00e1n extendidas son estas campa\u00f1as, aunque los objetivos potenciales son detectados y contactados usando LinkedIn, como tambi\u00e9n destac\u00f3 recientemente Mandiant, propiedad de Google.<\/p>\n<p>&#8220;Despu\u00e9s de una conversaci\u00f3n de chat inicial, el atacante envi\u00f3 un archivo ZIP que conten\u00eda el malware COVERTCATCH disfrazado de un desaf\u00edo de codificaci\u00f3n Python, que comprometi\u00f3 el sistema macOS del usuario al descargar un malware de segunda etapa que persisti\u00f3 a trav\u00e9s de Launch Agents y Launch Daemons&#8221;, dijo la compa\u00f1\u00eda.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El desarrollo se produce cuando la empresa de ciberseguridad Genians <a rel=\"nofollow noopener\" href=\"https:\/\/www.genians.co.kr\/blog\/threat_intelligence\/konni_universe\" target=\"_blank\">revel\u00f3<\/a> que el actor de amenazas norcoreano con nombre en c\u00f3digo Konni est\u00e1 intensificando sus ataques contra Rusia y Corea del Sur mediante el empleo de se\u00f1uelos de phishing que conducen al despliegue de AsyncRAT, con superposiciones identificadas con una campa\u00f1a con nombre en c\u00f3digo CLOUD#REVERSER (tambi\u00e9n conocida como puNK-002).<\/p>\n<p>Algunos de estos ataques tambi\u00e9n implican la propagaci\u00f3n de un nuevo malware llamado <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/s2wblog\/threat-tracking-analysis-of-punk-003s-lilith-rat-ported-to-autoit-script-30dd59e68213\" target=\"_blank\">CURK\u00d3N<\/a>un archivo de acceso directo de Windows (LNK) que sirve como descargador para una versi\u00f3n de AutoIt de Lilith RAT. La actividad se ha vinculado a un subgrupo rastreado como puNK-003, seg\u00fan S2W.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/developers-beware-lazarus-group-uses.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de septiembre de 2024\ue804Ravie LakshmananDesarrollo de software y malware Investigadores de ciberseguridad han descubierto un nuevo conjunto<\/p>\n","protected":false},"author":1,"featured_media":1356983,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,93217,4664,26,34683,11821,3187,2386,4667,50315,4669,239182,4654,239508,4658,4659,4653,18,4649,246983,4665,246984,20335,6984,246982,239484],"class_list":["post-1356982","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-codificacion","tag-como-hackear","tag-cuidado","tag-desarrolladores","tag-difundir","tag-falsas","tag-grupo","tag-las-noticias-de-los-hackers","tag-lazarus","tag-malware","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-pruebas","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-tengan","tag-utiliza","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1356982","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1356982"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1356982\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1356983"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1356982"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1356982"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1356982"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}