Группа исследования угроз Securonix отслеживает новую кампанию социально-инженерных атак (получившую название DEV#POPPER), вероятно, связанную с северокорейскими угрозами, которые направлены на разработчиков, использующих фальшивые собеседования для доставки RAT на базе Python. Злоумышленники выдают себя за законных интервьюеров и устраивают поддельные собеседования с разработчиками. Во время собеседования злоумышленники просят разработчиков выполнить задания, связанные с загрузкой и запуском программного обеспечения из источников, которые кажутся легитимными, например GitHub.
Злоумышленники стараются выглядеть как можно более правдоподобно, часто имитируя реальные компании и воспроизводя реальные процессы собеседования, используя профессиональную вовлеченность разработчиков и их доверие к процессу трудоустройства. Программное обеспечение содержало вредоносную полезную нагрузку Node JS, которая, будучи выполненной, компрометировала систему разработчика. Атака включает в себя несколько этапов, в том числе использование вредоносного пакета NPM, выполнение команд, загрузку полезной нагрузки и выполнение кода Python, что в итоге позволяет злоумышленнику удаленно взаимодействовать с машиной жертвы.
Indicators of Compromise
SHA256
- 45c991529a421104f2edf03d92e01d95774bf54325f9107dd4139505912a0c1e