Desenvolvedores Enganados Em Entrevistas de Emprego Falsas Para Baixar Malware

A empresa de cibersegurança Securonix descobriu uma nova campanha de ataque de engenharia social em andamento que visa desenvolvedores de software com pacotes npm falsos sob o pretexto de entrevistas de emprego falsas e os engana para baixar um trojan de acesso remoto (RAT) baseado em Python.

Com base nas táticas observadas, a Equipe de Pesquisa de Ameaças da Securonix, que rastreou a atividade sob o nome “DEV#POPPER”, supostamente vinculou a campanha a atores de ameaças da Coreia do Norte.

“Durante essas entrevistas fraudulentas, os desenvolvedores são frequentemente solicitados a realizar tarefas que envolvem baixar e executar software de fontes que parecem legítimas, como o GitHub. O software continha um payload malicioso de Node JS que, uma vez executado, comprometeu o sistema do desenvolvedor,” disseram os pesquisadores de segurança Den Iuzvyk, Tim Peck e Oleg Kolesnikov em um post no blog.

No entanto, o objetivo do ator de ameaça é enganar os alvos para baixar software malicioso que coleta informações do sistema e permite acesso remoto ao host.

Na primeira etapa, um arquivo zip do GitHub disfarçado como uma oferta para preencher posições de desenvolvedor de software é enviado ao entrevistado (neste caso, o desenvolvedor) para download pelo entrevistador (o atacante). O arquivo contém um pacote do Node Package Manager (NPM) com aparência legítima, contendo um README.md e diretórios Frontend e Backend.

Uma vez que o desenvolvedor executa o pacote NPM malicioso, um arquivo JavaScript ofuscado (“imageDetails.js”) é executado através do processo NodeJS (node.exe) usando comandos ‘curl’. O propósito do script malicioso na primeira etapa é simplesmente baixar um arquivo adicional (“p.zi”) de um servidor externo.

Dentro do arquivo está o payload da próxima etapa, um arquivo Python oculto (“.npl”) que funciona como um RAT. Dependendo das configurações do sistema operacional, este arquivo Python pode ou não estar oculto da vista do usuário.

Uma vez que o RAT está ativo no sistema da vítima, ele coleta informações do sistema e da rede de um computador infectado e, em seguida, envia esses dados para o servidor de comando e controle (C2), incluindo tipo de SO, nome do host, versão de lançamento do SO, versão do SO, nome de usuário do usuário logado e um identificador único para o dispositivo (uuid) gerado pela hash do endereço MAC e nome de usuário.

De acordo com os analistas da Securonix, o RAT suporta as seguintes capacidades:

• Funções de rede e criação de sessão são usadas para conexões persistentes.

• Funções do sistema de arquivos para percorrer diretórios, filtrar arquivos com base em extensões específicas e diretórios a serem excluídos, e procurar e roubar arquivos ou dados específicos.

• Execução remota de comandos que permite a execução de comandos de shell do sistema e scripts, incluindo navegação pelo sistema de arquivos e execução de comandos de shell.

• Exfiltração direta de dados FTP de vários diretórios de usuários, como Documentos e Downloads.

• Registro de clipboard e teclas inclui capacidades para monitorar e exfiltrar conteúdos do clipboard e teclas pressionadas.

“Quando se trata de ataques que se originam através de engenharia social, é crítico manter uma mentalidade focada na segurança, especialmente durante situações intensas e estressantes como entrevistas de emprego,” acrescentaram os pesquisadores.

“Os atacantes por trás das campanhas DEV#POPPER abusam disso, sabendo que a pessoa do outro lado está em um estado altamente distraído e muito mais vulnerável.”

A Securonix recomenda que as pessoas permaneçam extra vigilantes, pois oportunidades de emprego falsas são frequentemente usadas como isca para infectar pessoas com malware.

Para aqueles que não estão cientes, no final de novembro de 2023, pesquisadores da Palo Alto Networks Unidade 42 descobriram duas campanhas separadas visando atividades de busca de emprego ligadas a atores de ameaças patrocinados pelo estado da Coreia do Norte.

Na primeira campanha, “Entrevista Contagiosa,” os atores de ameaças se passaram por empregadores para atrair desenvolvedores de software a instalar malware através de um processo de entrevista que criava a potencialidade para vários tipos de roubo.

Por outro lado, a segunda campanha, “Wagemole,” buscou emprego não autorizado com organizações baseadas nos EUA e em outras partes do mundo, com potencial tanto para ganho financeiro quanto espionagem.