Il gruppo nordcoreano Lazarus torna a colpire con un nuovo RAT scritto in Python, capace di insinuarsi nelle pipeline CI/CD dei vendor tecnologici.
Secondo l’ultimo Weekly Intelligence Report di CYFIRMA, il malware viene distribuito tramite attacchi “ClickFix”: email che fingono di segnalare vulnerabilità nel codice per convincere gli sviluppatori a eseguire uno hotfix “pronto all’uso”. Una volta dentro, PyLangGhost ruba credenziali, compila payload modulari e sfrutta proxy TURN di Zoom/Teams per camuffare il traffico C2.
Spunti di riflessione
- Lazarus investe su RAT poliglotti (Go→Python) per bypassare gli EDR firm-based.
- Le supply chain non sono solo npm o PyPI: anche i workflow CI sono superfici d’attacco.
- La tecnica “Ghost Calls” via WebRTC rende inutile il filtraggio per dominio—serve analisi comportamentale sui flussi TURN.
Se la tua difesa termina al merge su Git, stai lasciando aperta la porta sul retro proprio dove compili e deployi il prodotto.