Menyamar sebagai perekrut, mereka dilaporkan memancing pengembang Python yang sedang mencari kerja dengan proyek uji pengkodean untuk produk manajemen kata sandi yang menyertakan malware.
File README menunjukkan bahwa tugas perlu diselesaikan dengan cepat, yang seharusnya membantu pengembang untuk "membuktikan" keahlian mereka, meskipun tujuannya adalah membuat korban melewatkan pemeriksaan keamanan apa pun yang dapat mengungkapkan kode berbahaya.
Lazarus secara aktif mendekati target mereka melalui LinkedIn, dengan arahan mereka dimaksudkan untuk memberikan rasa profesionalisme dan legitimasi untuk seluruh proses, serta rasa urgensi.
"Untuk mengurangi risiko ini, pengembang harus berhati-hati ketika didekati dengan peluang yang tidak diminta, terutama dari perekrut atau proyek yang tidak dikenal," kata Patrick Tiquet, VP of Security & Compliance di Keeper Security.
"Memverifikasi legitimasi tawaran pekerjaan, memeriksa dengan cermat sumber tugas pengkodean dan memastikan semua paket perangkat lunak berasal dari sumber yang terverifikasi dan tepercaya adalah langkah penting."
"Insiden ini menarik perhatian pada beberapa tantangan keamanan siber penting yang kita hadapi saat ini, terutama kombinasi rekayasa sosial dan meningkatnya kecanggihan aktor ancaman negara-bangsa seperti Lazarus Group."
Dengan menargetkan pengembang yang mencari pekerjaan, penyerang memadukan manipulasi manusia dengan eksploitasi teknis, menyoroti perlunya semua orang untuk tetap waspada.
Bagi pengembang, ini berfungsi sebagai peringatan bahwa bahkan sesuatu yang rutin seperti pengujian pengkodean dapat digunakan sebagai alat untuk menyerang. Keterlibatan platform tepercaya seperti GitHub dan LinkedIn membuat skema ini semakin meyakinkan.
Selain itu, fakta bahwa perangkat lunak berbahaya dikirimkan melalui repositori seperti PyPI menunjukkan betapa mudahnya penyerang dapat mengeksploitasi saluran yang sudah dikenal.
Insiden ini juga menekankan pentingnya keamanan rantai pasokan – tidak hanya untuk kode produksi, tetapi juga untuk kode pengembangan pra-produksi. Paket berbahaya dapat dimasukkan ke dalam proses pengembangan jauh sebelum kode mencapai produksi, menempatkan seluruh proyek dalam risiko.
Untuk mengurangi risiko ini, pengembang harus berhati-hati ketika didekati dengan peluang yang tidak diminta, terutama dari perekrut atau proyek yang tidak dikenal. Memverifikasi legitimasi tawaran pekerjaan, memeriksa dengan cermat sumber tugas pengkodean dan memastikan semua paket perangkat lunak berasal dari sumber yang terverifikasi dan tepercaya adalah langkah penting.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
