Desarrolladores engañados en entrevistas de trabajo falsas para descargar malware

La empresa de ciberseguridad Securonix ha descubierto una nueva campaña de ataque de ingeniería social en curso que tiene como objetivo a los desarrolladores de software con paquetes npm falsos bajo el pretexto de entrevistas de trabajo falsas y los engaña para que descarguen un troyano de acceso remoto (RAT) basado en Python.

Basado en las tácticas observadas, el equipo de investigación de amenazas de Securonix, que ha rastreado la actividad bajo el nombre de “DEV#POPPER”, supuestamente ha vinculado la campaña a actores de amenazas norcoreanos.

“Durante estas entrevistas fraudulentas, a menudo se les pide a los desarrolladores que realicen tareas que implican descargar y ejecutar software de fuentes que parecen legítimas, como GitHub. El software contenía una carga útil maliciosa de Node JS que, una vez ejecutada, comprometía el sistema del desarrollador”, dijeron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en una publicación de blog.

Sin embargo, el objetivo del actor de amenazas es engañar a las víctimas para que descarguen software malicioso que recopila información del sistema y permite el acceso remoto al host.

En la primera etapa, se envía un archivo zip de GitHub disfrazado como una oferta para llenar posiciones de desarrollador de software al entrevistado (en este caso, el desarrollador) para su descarga por parte del entrevistador (el atacante). El archivo contiene un paquete de Node Package Manager (NPM) que parece legítimo y que incluye un README.md y directorios de Frontend y Backend.

Una vez que el desarrollador ejecuta el paquete NPM malicioso, se ejecuta un archivo de JavaScript ofuscado (“imageDetails.js”) a través del proceso de NodeJS (node.exe) utilizando comandos ‘curl’. El propósito del script malicioso en la primera etapa es simplemente descargar un archivo adicional (“p.zi”) de un servidor externo.

Dentro del archivo está la carga útil de la siguiente etapa, un archivo Python oculto (“.npl”) que funciona como un RAT. Dependiendo de la configuración del sistema operativo, este archivo Python puede estar oculto o no a la vista del usuario.

Una vez que el RAT está activo en el sistema de la víctima, recopila información del sistema y de la red de una computadora infectada y luego envía estos datos al servidor de comando y control (C2), incluyendo el tipo de SO, nombre del host, versión de lanzamiento del SO, versión del SO, el nombre de usuario del usuario conectado y un identificador único para el dispositivo (uuid) generado al hash de la dirección MAC y el nombre de usuario.

Según los analistas de Securonix, el RAT admite las siguientes capacidades:

• La creación de redes y sesiones se utiliza para conexiones persistentes.

• Funciones del sistema de archivos para recorrer directorios, filtrar archivos según extensiones específicas y directorios a excluir, y buscar y robar archivos o datos específicos.

• Ejecución remota de comandos que permite la ejecución de comandos de shell del sistema y scripts, incluyendo la navegación por el sistema de archivos y la ejecución de comandos de shell.

• Exfiltración directa de datos FTP desde varios directorios de usuario como Documentos y Descargas.

• Registro de portapapeles y pulsaciones de teclas incluye capacidades para monitorear y exfiltrar contenidos del portapapeles y pulsaciones de teclas.

“Cuando se trata de ataques que se originan a través de la ingeniería social, es fundamental mantener una mentalidad centrada en la seguridad, especialmente durante situaciones intensas y estresantes como las entrevistas de trabajo”, añadieron los investigadores.

“Los atacantes detrás de las campañas DEV#POPPER abusan de esto, sabiendo que la persona al otro lado está en un estado altamente distraído y mucho más vulnerable.”

Securonix recomienda a las personas que permanezcan especialmente vigilantes, ya que las oportunidades de trabajo falsas a menudo se utilizan como cebo para infectar a las personas con malware.

Para aquellos que no lo saben, a finales de noviembre de 2023, los investigadores de Palo Alto Networks Unit 42 descubrieron dos campañas separadas que apuntaban a actividades de búsqueda de empleo vinculadas a actores de amenazas patrocinados por el estado norcoreano.

En la primera campaña, “Entrevista Contagiosa”, los actores de amenazas se hicieron pasar por empleadores para atraer a desarrolladores de software a instalar malware a través de un proceso de entrevista que creó la posibilidad de varios tipos de robo.

Por otro lado, la segunda campaña, “Wagemole”, buscó empleo no autorizado con organizaciones con sede en EE. UU. y otras partes del mundo, con potencial tanto para ganancias financieras como para espionaje.