Sviluppatori ingannati in colloqui di lavoro falsi per scaricare malware

La società di cybersecurity Securonix ha scoperto una nuova campagna di attacco di ingegneria sociale in corso che prende di mira gli sviluppatori software con pacchetti npm fasulli sotto il pretesto di colloqui di lavoro falsi e li inganna per scaricare un trojan di accesso remoto (RAT) basato su Python.

In base alle tattiche osservate, il Securonix Threat Research Team, che ha tracciato l’attività sotto il nome di “DEV#POPPER,” ha presumibilmente collegato la campagna ad attori minacciosi nordcoreani.

“Durante questi colloqui fraudolenti, agli sviluppatori viene spesso chiesto di eseguire compiti che comportano il download e l’esecuzione di software da fonti che appaiono legittime, come GitHub. Il software conteneva un payload Node JS malevolo che, una volta eseguito, comprometteva il sistema dello sviluppatore,” hanno dichiarato i ricercatori di sicurezza Den Iuzvyk, Tim Peck e Oleg Kolesnikov in un post sul blog.

Tuttavia, l’obiettivo dell’attore minaccioso è ingannare i bersagli per far scaricare software malevolo che raccoglie informazioni di sistema e consente l’accesso remoto all’host.

Nella prima fase, un archivio zip da GitHub travestito da offerta per coprire posizioni di sviluppatore software viene inviato all’intervistato (in questo caso, lo sviluppatore) per il download da parte dell’intervistatore (l’attaccante). L’archivio contiene un pacchetto Node Package Manager (NPM) dall’aspetto legittimo contenente un README.md e directory Frontend e Backend.

Una volta che lo sviluppatore esegue il pacchetto NPM malevolo, un file JavaScript offuscato (“imageDetails.js”) viene eseguito attraverso il processo NodeJS (node.exe) utilizzando comandi ‘curl’. Lo scopo dello script malevolo nella prima fase è semplicemente quello di scaricare un archivio aggiuntivo (“p.zi”) da un server esterno.

All’interno dell’archivio c’è il payload della fase successiva, un file Python nascosto (“.npl”) che funge da RAT. A seconda delle impostazioni del loro sistema operativo, questo file Python potrebbe essere o meno nascosto dalla vista dell’utente.

Una volta che il RAT è attivo sul sistema della vittima, raccoglie informazioni di sistema e di rete da un computer infetto e poi invia questi dati al server di comando e controllo (C2), inclusi tipo di OS, nome host, versione di rilascio dell’OS, versione dell’OS, nome utente dell’utente connesso e un identificatore unico per il dispositivo (uuid) generato tramite l’hashing dell’indirizzo MAC e del nome utente.

Secondo gli analisti di Securonix, il RAT supporta le seguenti capacità:

• Le funzioni di rete e creazione di sessioni vengono utilizzate per connessioni persistenti.

• Funzioni del file system per attraversare directory, filtrare file in base a specifiche estensioni e directory da escludere, e cercare e rubare file o dati specifici.

• Esecuzione di comandi remoti che consente l’esecuzione di comandi shell di sistema e script, inclusa la navigazione nel file system e l’esecuzione di comandi shell.

• Esfiltrazione diretta di dati FTP da varie directory utente come Documenti e Download.

• La registrazione degli appunti e dei tasti include capacità di monitorare ed esfiltrare i contenuti degli appunti e le sequenze di tasti.

“Quando si tratta di attacchi che originano attraverso l’ingegneria sociale, è fondamentale mantenere una mentalità focalizzata sulla sicurezza, specialmente durante situazioni intense e stressanti come i colloqui di lavoro,” hanno aggiunto i ricercatori.

“Gli attaccanti dietro le campagne DEV#POPPER abusano di questo, sapendo che la persona dall’altra parte è in uno stato altamente distratto e molto più vulnerabile.”

Securonix raccomanda alle persone di rimanere particolarmente vigili, poiché le opportunità di lavoro false vengono spesso utilizzate come esca per infettare le persone con malware.

Per chi non lo sapesse, alla fine di novembre 2023, i ricercatori di Palo Alto Networks Unit 42 hanno scoperto due campagne separate che prendono di mira le attività di ricerca di lavoro collegate a attori minacciosi sponsorizzati dallo stato nordcoreano.

Nella prima campagna, “Contagious Interview,” gli attori minacciosi si sono spacciati per datori di lavoro per attirare gli sviluppatori software a installare malware attraverso un processo di colloquio che creava il potenziale per vari tipi di furto.

D’altra parte, la seconda campagna, “Wagemole,” cercava un impiego non autorizzato con organizzazioni basate negli Stati Uniti e in altre parti del mondo, con potenziale sia per guadagni finanziari che per spionaggio.