Entwickler in gefälschte Vorstellungsgespräche gelockt, um Malware herunterzuladen

Das Cybersecurity-Unternehmen Securonix hat eine neue laufende Social-Engineering-Angriffskampagne entdeckt, die Softwareentwickler mit gefälschten npm-Paketen unter dem Vorwand von gefälschten Vorstellungsgesprächen ins Visier nimmt und sie dazu bringt, einen auf Python basierenden Remote Access Trojaner (RAT) herunterzuladen.

Basierend auf den beobachteten Taktiken hat das Securonix Threat Research Team, das die Aktivität unter “DEV#POPPER” verfolgt, die Kampagne angeblich nordkoreanischen Bedrohungsakteuren zugeordnet.

„Während dieser betrügerischen Interviews werden die Entwickler oft gebeten, Aufgaben auszuführen, die das Herunterladen und Ausführen von Software aus Quellen beinhalten, die legitim erscheinen, wie GitHub. Die Software enthielt eine bösartige Node JS-Nutzlast, die, einmal ausgeführt, das System des Entwicklers kompromittierte“, sagten die Sicherheitsforscher Den Iuzvyk, Tim Peck und Oleg Kolesnikov in einem Blogbeitrag.

Das Ziel des Bedrohungsakteurs ist es jedoch, die Ziele zu täuschen, um bösartige Software herunterzuladen, die Systeminformationen sammelt und den Fernzugriff auf den Host ermöglicht.

Im ersten Schritt wird ein Zip-Archiv von GitHub, das als Angebot zum Ausfüllen von Softwareentwicklerpositionen getarnt ist, dem Interviewten (in diesem Fall dem Entwickler) zum Herunterladen durch den Interviewer (den Angreifer) gesendet. Das Archiv enthält ein legitim aussehendes Node Package Manager (NPM)-Paket mit einer README.md und Frontend- sowie Backend-Verzeichnissen.

Sobald der Entwickler das bösartige NPM-Paket ausführt, wird eine obfuskiertes JavaScript-Datei („imageDetails.js“) über den NodeJS-Prozess (node.exe) mit ‘curl’-Befehlen ausgeführt. Der Zweck des bösartigen Skripts im ersten Schritt besteht einfach darin, ein zusätzliches Archiv („p.zi“) von einem externen Server herunterzuladen.

Im Inneren des Archivs befindet sich die nächste Stufen-Nutzlast, eine versteckte Python-Datei („.npl“), die als RAT fungiert. Abhängig von den Einstellungen des Betriebssystems kann diese Python-Datei für den Benutzer sichtbar oder unsichtbar sein.

Sobald der RAT auf dem System des Opfers aktiv ist, sammelt er System- und Netzwerkinformationen von einem infizierten Computer und sendet diese Daten dann an den Command and Control (C2)-Server, einschließlich OS-Typ, Hostname, OS-Version, OS-Version, den Benutzernamen des angemeldeten Benutzers und eine eindeutige Kennung für das Gerät (uuid), die durch Hashing der MAC-Adresse und des Benutzernamens generiert wird.

Laut Securonix-Analysten unterstützt der RAT die folgenden Funktionen:

• Netzwerk- und Sitzungsverwaltung werden für persistente Verbindungen verwendet.

• Dateisystemfunktionen zum Durchsuchen von Verzeichnissen, Filtern von Dateien basierend auf bestimmten Erweiterungen und auszuschließenden Verzeichnissen sowie zum Suchen und Stehlen spezifischer Dateien oder Daten.

• Remote-Befehlsausführung, die die Ausführung von System-Shell-Befehlen und Skripten ermöglicht, einschließlich des Durchsuchens des Dateisystems und der Ausführung von Shell-Befehlen.

• Direkte FTP-Datenexfiltration aus verschiedenen Benutzerverzeichnissen wie Dokumenten und Downloads.

• Zwischenablage- und Tastenanschlagprotokollierung umfasst Funktionen zur Überwachung und Exfiltration von Inhalten der Zwischenablage und Tastenanschlägen.

„Wenn es um Angriffe geht, die durch Social Engineering entstehen, ist es entscheidend, eine sicherheitsorientierte Denkweise aufrechtzuerhalten, insbesondere in intensiven und stressigen Situationen wie Vorstellungsgesprächen“, fügten die Forscher hinzu.

„Die Angreifer hinter den DEV#POPPER-Kampagnen missbrauchen dies, da sie wissen, dass die Person am anderen Ende in einem stark abgelenkten und viel verletzlicheren Zustand ist.“

Securonix empfiehlt, besonders wachsam zu bleiben, da gefälschte Stellenangebote oft als Köder verwendet werden, um Menschen mit Malware zu infizieren.

Für diejenigen, die es nicht wissen: Ende November 2023 entdeckten Forscher von Palo Alto Networks Unit 42 zwei separate Kampagnen, die sich auf die Jobsuche konzentrierten und mit nordkoreanischen staatlich geförderten Bedrohungsakteuren in Verbindung standen.

In der ersten Kampagne, „Contagious Interview“, gaben sich Bedrohungsakteure als Arbeitgeber aus, um Softwareentwickler dazu zu verleiten, Malware über einen Interviewprozess zu installieren, der das Potenzial für verschiedene Arten von Diebstahl schuf.

Auf der anderen Seite suchte die zweite Kampagne, „Wagemole“, unbefugte Beschäftigung bei Organisationen mit Sitz in den USA und anderen Teilen der Welt, mit Potenzial für sowohl finanziellen Gewinn als auch Spionage.