Des développeurs piégés lors de faux entretiens d'embauche pour télécharger des logiciels malveillants

La société de cybersécurité Securonix a découvert une nouvelle campagne d’attaque d’ingénierie sociale en cours qui cible les développeurs de logiciels avec de faux paquets npm sous prétexte de faux entretiens d’embauche et les trompe pour qu’ils téléchargent un cheval de Troie d’accès à distance (RAT) basé sur Python.

Sur la base des tactiques observées, l’équipe de recherche sur les menaces de Securonix, qui a suivi l’activité sous le nom de « DEV#POPPER », aurait lié la campagne à des acteurs de menace nord-coréens.

« Lors de ces entretiens frauduleux, les développeurs sont souvent invités à effectuer des tâches qui impliquent de télécharger et d’exécuter des logiciels provenant de sources qui semblent légitimes, comme GitHub. Le logiciel contenait une charge utile Node JS malveillante qui, une fois exécutée, compromettait le système du développeur », ont déclaré les chercheurs en sécurité Den Iuzvyk, Tim Peck et Oleg Kolesnikov dans un article de blog.

Cependant, l’objectif de l’acteur de menace est de tromper les cibles pour qu’elles téléchargent des logiciels malveillants qui collectent des informations système et permettent un accès à distance à l’hôte.

Dans la première étape, une archive zip de GitHub déguisée en offre pour remplir des postes de développeur de logiciels est envoyée à l’interviewé (dans ce cas, le développeur) pour téléchargement par l’intervieweur (l’attaquant). L’archive contient un paquet Node Package Manager (NPM) ayant l’apparence légitime contenant un README.md et des répertoires Frontend et Backend.

Une fois que le développeur exécute le paquet NPM malveillant, un fichier JavaScript obfusqué (« imageDetails.js ») est exécuté via le processus NodeJS (node.exe) en utilisant des commandes ‘curl’. Le but du script malveillant dans la première étape est simplement de télécharger une archive supplémentaire (« p.zi ») depuis un serveur externe.

À l’intérieur de l’archive se trouve la charge utile de la prochaine étape, un fichier Python caché (« .npl ») qui fonctionne comme un RAT. Selon les paramètres de leur système d’exploitation, ce fichier Python peut ou non être caché à la vue de l’utilisateur.

Une fois que le RAT est actif sur le système de la victime, il collecte des informations système et réseau d’un ordinateur infecté et envoie ensuite ces données au serveur de commandement et de contrôle (C2), y compris le type de système d’exploitation, le nom d’hôte, la version de publication du système d’exploitation, la version du système d’exploitation, le nom d’utilisateur de l’utilisateur connecté et un identifiant unique pour l’appareil (uuid) généré en hachant l’adresse MAC et le nom d’utilisateur.

Selon les analystes de Securonix, le RAT prend en charge les capacités suivantes :

• La création de réseaux et de sessions est utilisée pour des connexions persistantes.

• Les fonctions du système de fichiers pour parcourir les répertoires, filtrer les fichiers en fonction d’extensions spécifiques et de répertoires à exclure, et rechercher et voler des fichiers ou des données spécifiques.

• L’exécution de commandes à distance qui permet l’exécution de commandes et de scripts de shell système, y compris la navigation dans le système de fichiers et l’exécution de commandes shell.

• L’exfiltration directe de données FTP depuis divers répertoires utilisateurs comme Documents et Téléchargements.

• La journalisation du presse-papiers et des frappes inclut des capacités pour surveiller et exfiltrer le contenu du presse-papiers et les frappes.

« Lorsqu’il s’agit d’attaques qui proviennent de l’ingénierie sociale, il est essentiel de maintenir un état d’esprit axé sur la sécurité, surtout lors de situations intenses et stressantes comme les entretiens d’embauche », ont ajouté les chercheurs.

« Les attaquants derrière les campagnes DEV#POPPER abusent de cela, sachant que la personne de l’autre côté est dans un état très distrait et beaucoup plus vulnérable. »

Securonix recommande aux gens de rester particulièrement vigilants, car de fausses opportunités d’emploi sont souvent utilisées comme appâts pour infecter les gens avec des logiciels malveillants.

Pour ceux qui ne le savent pas, fin novembre 2023, les chercheurs de Palo Alto Networks Unit 42 ont découvert deux campagnes distinctes ciblant les activités de recherche d’emploi liées à des acteurs de menace soutenus par l’État nord-coréen.

Dans la première campagne, « Entretien contagieux », les acteurs de menace se faisaient passer pour des employeurs pour attirer les développeurs de logiciels à installer des logiciels malveillants à travers un processus d’entretien qui créait le potentiel pour divers types de vol.

D’autre part, la deuxième campagne, « Wagemole », cherchait un emploi non autorisé auprès d’organisations basées aux États-Unis et dans d’autres parties du monde, avec un potentiel à la fois de gain financier et d’espionnage.