개발자들이 가짜 취업 면접에 속아 악성코드 다운로드

사이버 보안 회사 Securonix는 가짜 취업 면접을 가장하여 소프트웨어 개발자를 대상으로 하는 새로운 지속적인 사회 공학 공격 캠페인을 발견했습니다. 이 캠페인은 개발자들을 속여 Python 기반 원격 접근 트로이 목마(RAT)를 다운로드하게 만듭니다.

관찰된 전술에 따르면, Securonix 위협 연구 팀은 “DEV#POPPER”라는 이름으로 활동을 추적하며 이 캠페인을 북한의 위협 행위자와 연결하고 있다고 주장합니다.

“이러한 사기 면접 동안, 개발자들은 종종 GitHub와 같은 합법적으로 보이는 출처에서 소프트웨어를 다운로드하고 실행하는 작업을 수행하라는 요청을 받습니다. 이 소프트웨어에는 악성 Node JS 페이로드가 포함되어 있어 실행되면 개발자의 시스템을 손상시킵니다.”라고 보안 연구원 Den Iuzvyk, Tim Peck, Oleg Kolesnikov이 블로그 게시물에서 말했습니다.

그러나 위협 행위자의 목표는 피해자를 속여 시스템 정보를 수집하고 호스트에 대한 원격 접근을 가능하게 하는 악성 소프트웨어를 다운로드하게 만드는 것입니다.

첫 번째 단계에서는 GitHub에서 소프트웨어 개발자 직책을 채우라는 제안으로 가장한 zip 아카이브가 면접관(공격자)에 의해 면접자(이 경우 개발자)에게 다운로드됩니다. 아카이브에는 README.md와 프론트엔드 및 백엔드 디렉토리를 포함한 합법적으로 보이는 Node 패키지 관리자(NPM) 패키지가 포함되어 있습니다.

개발자가 악성 NPM 패키지를 실행하면, 난독화된 JavaScript 파일(“imageDetails.js”)이 ‘curl’ 명령을 사용하여 NodeJS 프로세스(node.exe)를 통해 실행됩니다. 첫 번째 단계에서 악성 스크립트의 목적은 단순히 외부 서버에서 추가 아카이브(“p.zi”)를 다운로드하는 것입니다.

아카이브 내부에는 RAT로 기능하는 숨겨진 Python 파일(“.npl”)이 다음 단계 페이로드로 포함되어 있습니다. 운영 체제 설정에 따라 이 Python 파일은 사용자에게 보이지 않을 수도 있습니다.

RAT가 피해자의 시스템에서 활성화되면, 감염된 컴퓨터에서 시스템 및 네트워크 정보를 수집하고 이 데이터를 명령 및 제어(C2) 서버로 전송합니다. 여기에는 OS 유형, 호스트 이름, OS 릴리스 버전, OS 버전, 로그인한 사용자의 사용자 이름 및 MAC 주소와 사용자 이름을 해싱하여 생성된 장치의 고유 식별자(uuid)가 포함됩니다.

Securonix 분석가에 따르면, RAT는 다음과 같은 기능을 지원합니다:

• 네트워킹 및 세션 생성은 지속적인 연결을 위해 사용됩니다.

• 특정 확장자 및 제외할 디렉토리를 기반으로 파일을 필터링하고 특정 파일이나 데이터를 검색하고 훔치는 파일 시스템 기능.

• 시스템 셸 명령 및 스크립트를 실행할 수 있는 원격 명령 실행 기능, 파일 시스템 탐색 및 셸 명령 실행 포함.

• 문서 및 다운로드와 같은 다양한 사용자 디렉토리에서 직접 FTP 데이터 유출.

• 클립보드 및 키스트로크 로깅에는 클립보드 내용 및 키스트로크를 모니터링하고 유출하는 기능이 포함됩니다.

“사회 공학을 통해 발생하는 공격에 대해, 특히 취업 면접과 같은 긴장되고 스트레스가 많은 상황에서는 보안 중심의 사고 방식을 유지하는 것이 중요합니다.”라고 연구원들은 덧붙였습니다.

“DEV#POPPER 캠페인의 공격자들은 상대방이 매우 산만하고 훨씬 더 취약한 상태에 있다는 것을 알고 이를 악용합니다.”

Securonix는 사람들이 악성코드에 감염되는 미끼로 가짜 취업 기회가 자주 사용되므로 더욱 경계를 유지할 것을 권장합니다.

모르는 분들을 위해, 2023년 11월 말, Palo Alto Networks Unit 42 연구원들은 북한 국가 지원 위협 행위자와 관련된 구직 활동을 목표로 하는 두 개의 별도 캠페인을 발견했습니다.

첫 번째 캠페인인 “전염성 면접”에서는 위협 행위자들이 고용주로 가장하여 소프트웨어 개발자를 면접 과정을 통해 악성코드를 설치하도록 유도했습니다. 이는 다양한 유형의 도난 가능성을 생성했습니다.

반면 두 번째 캠페인인 “Wagemole”은 미국 및 세계 다른 지역에 기반을 둔 조직과의 무단 고용을 추구하며, 재정적 이익과 스파이 활동의 가능성을 가지고 있습니다.