Собеседование мечты или ловушка? Новый тренд в мире социальной инженерии

Недавно исследователями из PolySwarm было зафиксировано несколько случаев изощрённых кибератак с техниками социальной инженерии, направленных на разработчиков программного обеспечения. Мошенники используют поддельные собеседования, чтобы установить вредоносное ПО, известное как DevPopper. Этот инструмент представляет собой троян удалённого доступа ( RAT ) на базе Python, который способен проникать в устройства на различных операционных системах, включая Linux, Windows и MacOS.

Злоумышленники маскируются под работодателей, проводящих собеседования на позиции разработчиков. В ходе фальшивых интервью кандидатов просят выполнить технические задачи, такие как скачивание и запуск кода с GitHub. Таким образом, жертвы, сами того не подозревая, загружают вредоносное ПО на свои устройства, предоставляя мошенникам удалённый доступ к системе.

После загрузки файла, содержащего NPM-пакет, запускается зашифрованный JavaScript -файл, который выполняет команды «curl» через Node.js. Это приводит к загрузке второго архива, содержащего следующий этап вредоносного ПО — скрипт DevPopper RAT на Python.

DevPopper собирает информацию об устройстве, такую как тип операционной системы, имя хоста и сетевые данные, и отправляет эти сведения на сервер управления ( C2 ). Возможности DevPopper включают создание сетевых сессий, кодирование данных, поддержку постоянных соединений для удалённого контроля, поиск файловой системы и кражу файлов, выполнение удалённых команд ( RCE ) для развёртывания дополнительных эксплойтов или вредоносного ПО, ведение журналов буфера обмена и регистрации нажатий клавиш.

Недавно компания Securonix , которая первой обнаружила эту вредоносную активность в апреле этого года, сообщила, что злоумышленники, стоящие за DevPopper, усовершенствовали свои методы и инструменты (TTP). Теперь они нацеливаются на устройства под управлением не только Linux, но и Windows и MacOS.

Кроме того, в кампанию были добавлены новые варианты вредоносного ПО. Обновлённый DevPopper обладает расширенными возможностями, включая улучшенную функциональность FTP, поддержку шифрованной передачи данных, а также возможность кражи сохранённых учётных данных и сессионных cookie-файлов из популярных браузеров.

Скорее всего, эта кампания является работой северокорейских хакеров, так как она имеет схожие черты с предыдущими атаками, исходящими из КНДР. Жертвами уже стали пользователи в Южной Корее, Северной Америке, Европе и на Ближнем Востоке.

Для тех IT-специалистов, кто работает в сфере разработки ПО, эта информация является тревожным сигналом, подчёркивающим важность осторожности при взаимодействии с потенциальными работодателями в интернете.