Разработчики обмануты на фальшивых собеседованиях для загрузки вредоносного ПО

Компания по кибербезопасности Securonix обнаружила новую продолжающуюся кампанию социальной инженерии, нацеленную на разработчиков программного обеспечения с помощью поддельных npm-пакетов под предлогом фальшивых собеседований, обманывающую их на загрузку трояна удаленного доступа (RAT) на основе Python.

На основе наблюдаемых тактик команда по исследованию угроз Securonix, которая отслеживала активность под названием “DEV#POPPER”, предположительно связала кампанию с северокорейскими угрозами.

“Во время этих мошеннических собеседований разработчиков часто просят выполнить задачи, которые включают загрузку и запуск программного обеспечения из источников, которые выглядят легитимно, таких как GitHub. Программное обеспечение содержало вредоносный полезный груз Node JS, который, будучи выполненным, компрометировал систему разработчика,” - сказали исследователи безопасности Ден Иузвик, Тим Пек и Олег Колесников в блоге.

Тем не менее, цель злоумышленника - обмануть жертвы, заставив их загрузить вредоносное программное обеспечение, которое собирает информацию о системе и позволяет удаленный доступ к хосту.

На первом этапе zip-архив с GitHub, замаскированный под предложение заполнить вакансии разработчиков программного обеспечения, отправляется собеседуемому (в данном случае, разработчику) для загрузки интервьюером (злоумышленником). Архив содержит пакет Node Package Manager (NPM), который выглядит легитимно и содержит README.md и каталоги Frontend и Backend.

Как только разработчик выполняет вредоносный пакет NPM, выполняется обфусцированный JavaScript-файл (“imageDetails.js”) через процесс NodeJS (node.exe) с использованием команд ‘curl’. Цель вредоносного скрипта на первом этапе - просто загрузить дополнительный архив (“p.zi”) с внешнего сервера.

Внутри архива находится полезная нагрузка следующего этапа, скрытый файл Python (“.npl”), который функционирует как RAT. В зависимости от настроек операционной системы этот файл Python может быть скрыт от пользователя или нет.

Как только RAT активен в системе жертвы, он собирает информацию о системе и сети с зараженного компьютера, а затем отправляет эти данные на сервер командования и управления (C2), включая тип ОС, имя хоста, версию ОС, версию ОС, имя пользователя вошедшего в систему и уникальный идентификатор устройства (uuid), сгенерированный путем хеширования MAC-адреса и имени пользователя.

Согласно аналитикам Securonix, RAT поддерживает следующие возможности:

• Сетевые функции и создание сессий используются для постоянных соединений.

• Функции файловой системы для обхода каталогов, фильтрации файлов на основе конкретных расширений и каталогов для исключения, а также поиска и кражи конкретных файлов или данных.

• Удаленное выполнение команд, которое позволяет выполнять системные команды оболочки и скрипты, включая просмотр файловой системы и выполнение команд оболочки.

• Прямой эксфильтрации данных FTP из различных пользовательских каталогов, таких как Документы и Загрузки.

• Логирование буфера обмена и нажатий клавиш включает возможности мониторинга и эксфильтрации содержимого буфера обмена и нажатий клавиш.

“Когда дело доходит до атак, которые происходят через социальную инженерию, критически важно сохранять ориентированный на безопасность подход, особенно в напряженных и стрессовых ситуациях, таких как собеседования,” - добавили исследователи.

“Злоумышленники, стоящие за кампаниями DEV#POPPER, злоупотребляют этим, зная, что человек на другом конце находится в состоянии высокой отвлеченности и гораздо большей уязвимости.”

Securonix рекомендует людям оставаться особенно бдительными, так как фальшивые вакансии часто используются в качестве приманки для заражения людей вредоносным ПО.

Для тех, кто не в курсе, в конце ноября 2023 года исследователи Palo Alto Networks Unit 42 обнаружили две отдельные кампании, нацеленные на действия по поиску работы, связанные с государственными угрозами Северной Кореи.

В первой кампании “Заразительное собеседование” злоумышленники выдавали себя за работодателей, чтобы заманить разработчиков программного обеспечения к установке вредоносного ПО через процесс собеседования, который создавал потенциальные возможности для различных видов кражи.

С другой стороны, вторая кампания “Wagemole” стремилась к несанкционированному трудоустройству в организациях, базирующихся в США и других частях мира, с потенциальной возможностью как финансовой выгоды, так и шпионажа.