28.04.2024 | Dev Popper: хакеры заманивают в свои сети наивных программистов, ищущих работу |
Исследователи обнаружили хакерскую кампанию под названием Dev Popper, ориентированную на разработчиков программного обеспечения. Злоумышленники маскируются под работодателей и рассылают фиктивные вакансии для IT-специалистов. Их истинной целью является внедрение на компьютеры жертв опасного трояна удаленного доступа ( RAT ) на языке Python . В процессе мнимого собеседования соискателям предлагают выполнить "тестовое задание" - загрузить и запустить код с репозитория на GitHub. Атака реализуется в несколько стадий с использованием методик социальной инженерии для постепенного взлома системы. Для начала предлагается скачать ZIP-архив, содержащий вспомогательный NPM-пакет с файлом README.md и отдельными папками для клиентского и серверного кода. Затем активируется замаскированный JavaScript-файл imageDetails.js в бэкэнд директории. Через Node.js он выполняет команды curl для закачки дополнительного зашифрованного архива p.zi с внешнего сервера. Внутри архива p.zi находится основной компонент атаки - запутанный Python-скрипт npl, то есть сам троян. Как только RAT оказывается на зараженной машине, он собирает базовую информацию: тип операционной системы, имя хоста, сетевые данные, которые затем отправляются на сервер злоумышленников. Помимо сбора данных, троян обладает широчайшим функционалом:
По оценке аналитиков Securonix , тактика кампании Dev Popper с высокой долей вероятности используется хакерскими группировками из Северной Кореи, известными применением методик социальной инженерии. Впрочем, для того, чтобы обвинять в атаках власти КНДР напрямую, пока недостаточно оснований. Эксперты подчеркивают, что злоумышленники искусно эксплуатируют доверие IT-специалистов к процессу трудоустройства. Нежелание упустить потенциальную вакансию из-за невыполнения указаний мнимого работодателя делает атаку чрезвычайно эффективной. |
Проверить безопасность сайта