Недавно исследователями из PolySwarm было зафиксировано несколько случаев изощрённых кибератак с техниками социальной инженерии, направленных на разработчиков программного обеспечения. Мошенники используют поддельные собеседования, чтобы установить вредоносное ПО, известное как DevPopper. Этот инструмент представляет собой троян удалённого доступа (” data-html=”true” data-original-title=”RAT” >RAT) на базе Python, который способен проникать в устройства на различных операционных системах, включая Linux, Windows и MacOS.
Злоумышленники маскируются под работодателей, проводящих собеседования на позиции разработчиков. В ходе фальшивых интервью кандидатов просят выполнить технические задачи, такие как скачивание и запуск кода с GitHub. Таким образом, жертвы, сами того не подозревая, загружают вредоносное ПО на свои устройства, предоставляя мошенникам удалённый доступ к системе.
После загрузки файла, содержащего NPM-пакет, запускается зашифрованный JavaScript-файл, который выполняет команды “curl” через Node.js. Это приводит к загрузке второго архива, содержащего следующий этап вредоносного ПО – скрипт DevPopper RAT на Python.
DevPopper собирает информацию об устройстве, такую как тип операционной системы, имя хоста и сетевые данные, и отправляет эти сведения на сервер управления (” data-html=”true” data-original-title=”C2″ >C2). Возможности DevPopper включают создание сетевых сессий, кодирование данных, поддержку постоянных соединений для удалённого контроля, поиск файловой системы и кражу файлов, выполнение удалённых команд (RCE) для развёртывания дополнительных эксплойтов или вредоносного ПО, ведение журналов буфера обмена и регистрации нажатий клавиш.
Недавно компания Securonix, которая первой обнаружила эту вредоносную активность в апреле этого года, сообщила, что злоумышленники, стоящие за DevPopper, усовершенствовали свои методы и инструменты (TTP). Теперь они нацеливаются на устройства под управлением не только Linux, но и Windows и MacOS.
Кроме того, в кампанию были добавлены новые варианты вредоносного ПО. Обновлённый DevPopper обладает расширенными возможностями, включая улучшенную функциональность FTP, поддержку шифрованной передачи данных, а также возможность кражи сохранённых учётных данных и сессионных cookie-файлов из популярных браузеров.
Скорее всего, эта кампания является работой северокорейских хакеров, так как она имеет схожие черты с предыдущими атаками, исходящими из КНДР. Жертвами уже стали пользователи в Южной Корее, Северной Америке, Европе и на Ближнем Востоке.
Для тех IT-специалистов, кто работает в сфере разработки ПО, эта информация является тревожным сигналом, подчёркивающим важность осторожности при взаимодействии с потенциальными работодателями в интернете.