Продолжающаяся кампания социальной инженерии нацелена на разработчиков программного обеспечения с поддельными пакетами npm под видом собеседования при приеме на работу, чтобы обманом заставить их загрузить бэкдор Python.
Компания по кибербезопасности Securonix отслеживает активность под именем DEV #POPPER, связывая ее с участниками северокорейской угрозы.
"Во время этих мошеннических собеседований разработчиков часто просят выполнить задачи, связанные с загрузкой и запуском программного обеспечения из источников, которые кажутся законными, таких как GitHub", - сказали исследователи безопасности Ден Юзвик, Тим Пек и Олег Колесников. "Программное обеспечение содержало полезную нагрузку вредоносного узла JS, которая после запуска ставила под угрозу систему разработчика".
Подробности кампании впервые появились в конце ноября 2023 года, когда подразделение Palo Alto Networks 42 подробно описало группу мероприятий, получившую название Заразное интервью, в котором участники угрозы представляются работодателями, чтобы заманить разработчиков программного обеспечения к установке вредоносных программ, таких как BeaverTail и InvisibleFerret, в процессе собеседования.
Ранее в феврале этого года компания Phylum, занимающаяся обеспечением безопасности цепочки поставок программного обеспечения, обнаружила набор вредоносных пакетов в реестре npm, которые поставляли те же семейства вредоносных программ для перекачки конфиденциальной информации из скомпрометированных систем разработчиков.
Стоит отметить, что "Заразное интервью", как говорят, отличается от "Operation Dream Job" (также известной как "DeathNote" или "NukeSped"), в котором 42-й отдел сообщает Hacker News, что первый "ориентирован на таргетинг на разработчиков, в основном с помощью поддельных удостоверений личности на порталах вакансий фрилансеров, а следующие этапы включают использование инструментов разработчика и пакетов npm, ведущих к [...] BeaverTail и InvisibleFerret ".
Операция Dream Job, связанная с prolific Lazarus Group из Северной Кореи, представляет собой длительную наступательную кампанию, которая отправляет ничего не подозревающим специалистам, занятым в различных секторах, таких как аэрокосмическая промышленность, криптовалюта, оборона и другие, вредоносные файлы под видом предложений работы для распространения вредоносного ПО.
Впервые обнаруженный израильской фирмой по кибербезопасности ClearSky в начале 2020 года, он также демонстрирует совпадения с двумя другими кластерами Lazarus, известными как Operation In (ter) ception и Operation North Star.
Цепочка атак, подробно описанная Securonix, начинается с ZIP-архива, размещенного на GitHub, который, вероятно, отправляется адресату во время интервью. В файле присутствует, казалось бы, безобидный модуль npm, который содержит вредоносный файл JavaScript под кодовым названием BeaverTail, который действует как похититель информации и загрузчик для бэкдора Python под названием InvisibleFerret, извлекаемого с удаленного сервера.
Имплантат, помимо сбора системной информации, способен выполнять команды, перечислять и эксфильтровать файлы, а также записывать данные из буфера обмена и нажатия клавиш.
Разработка является признаком того, что северокорейские злоумышленники продолжают оттачивать множество видов оружия для своего арсенала кибератак, последовательно обновляя свое мастерство улучшенными возможностями скрывать свои действия и сливаться с хост-системами и сетями, не говоря уже о перекачивании данных и превращении компромиссов в финансовую выгоду.
"Когда дело доходит до атак, инициируемых с помощью социальной инженерии, крайне важно сохранять ориентацию на безопасность, особенно во время интенсивных и стрессовых ситуаций, таких как собеседования при приеме на работу", - говорят исследователи Securonix.
"Злоумышленники, стоящие за кампаниями DEV # POPPER, злоупотребляют этим, зная, что человек на другом конце провода сильно отвлечен и находится в гораздо более уязвимом состоянии".
