Исследователи из PolySwarm недавно зафиксировали несколько случаев изощрённых кибератак с техниками социальной инженерии, направленных на разработчиков ПО. Мошенники используют поддельные собеседования для установки вредоноса, рассказывает SecurityLab.
Исследователи из PolySwarm недавно зафиксировали несколько случаев изощрённых кибератак с техниками социальной инженерии, направленных на разработчиков ПО. Мошенники используют поддельные собеседования для установки вредоноса, рассказывает SecurityLab.
Злоумышленники маскируются под работодателей, проводящих собеседования на позиции разработчиков. В ходе фальшивых интервью кандидатов просят выполнить технические задачи, например скачать и запустить код с GitHub. Жертвы, сами того не подозревая, загружают вредоносное ПО на свои устройства, предоставляя мошенникам удалённый доступ к системе.
После загрузки файла с NPM-пакетом запускается зашифрованный JavaScript-файл, который выполняет команды «curl» через Node.js. Это приводит к загрузке второго архива, содержащего скрипт DevPopper. Это троян удалённого доступа на Python, который способен проникать в устройства на разных операционных системах.
DevPopper собирает информацию об устройстве, такую как тип ОС, имя хоста и сетевые данные, и отправляет эти сведения на сервер управления. Возможности DevPopper включают создание сетевых сессий, кодирование данных, поддержку постоянных соединений для удалённого контроля, поиск файловой системы и кражу файлов, выполнение удалённых команд для развёртывания дополнительных эксплойтов или вредоносного ПО, ведение журналов буфера обмена и регистрации нажатий клавиш.
Недавно компания Securonix, которая в апреле первой обнаружила эту вредоносную активность, сообщила, что злоумышленники, стоящие за DevPopper, усовершенствовали свои методы и инструменты и теперь нацеливаются на устройства под управлением не только Linux, но и Windows и MacOS.
Кроме того, в кампанию были добавлены новые варианты вредоносного ПО. Обновлённый DevPopper обладает расширенными возможностями, включая улучшенную функциональность FTP, поддержку шифрованной передачи данных, а также возможность кражи сохранённых учётных данных и сессионных cookie-файлов из популярных браузеров.
Скорее всего, эта кампания является работой северокорейских хакеров, так как она имеет схожие черты с предыдущими атаками, исходящими из КНДР. Жертвами уже стали пользователи в Южной Корее, Северной Америке, Европе и на Ближнем Востоке. В связи с этим разработчикам важно быть осторожными при взаимодействии с потенциальными работодателями в интернете.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.