“Dev Popper” olarak izlenen yeni bir kampanya, bir Python uzaktan erişim Truva (sıçan) yüklemeleri için kandırmak için sahte iş görüşmeleri olan yazılım geliştiricilerini hedefliyor.
Geliştiricilerden, tüm sürecin meşru görünmesini sağlamak amacıyla GitHub'dan kod indirme ve çalıştırma gibi görüşme ile ilgili görevleri yerine getirmeleri istenir.
Bununla birlikte, tehdit oyuncunun amacı, hedeflerinin sistem bilgilerini toplayan ve ana bilgisayara uzaktan erişim sağlayan kötü amaçlı yazılım indirmesini sağlamaktır.
Securonix analistlerine göre, kampanya muhtemelen gözlemlenen taktiklere dayanarak Kuzey Kore tehdit aktörleri tarafından düzenleniyor. Bağlantılar atıf için yeterince güçlü değil.
“Dev Popper” saldırıları, ilerici bir uzlaşma süreciyle hedefleri kandırmak için tasarlanmış sosyal mühendisliğe dayanan çok aşamalı bir enfeksiyon zinciri içerir.
Saldırganlar, yazılım geliştirici pozisyonlarını doldurmak isteyen işverenler olarak poz vererek iletişim başlatır. Görüşme sırasında, adaylardan bir GitHub deposundan standart bir kodlama görevi olarak sunulanları indirmeleri ve çalıştırmaları istenir.
Dosya, ReadMe.md, ön uç ve arka uç dizinlerine sahip bir NPM paketi içeren bir zip arşividir.
Geliştirici NPM paketini çalıştırdıktan sonra, arka uç dizininin içine gizlenmiş gizlenmiş bir JavaScript dosyası (“ImageDetails.js”) etkinleştirilir, ek bir arşiv indirmek için node.js işlemi üzerinden 'curl' komutlarını çalıştırır (“p.zi”) harici bir sunucudan.
Arşivin içinde, sıçan olarak işlev gören gizlenmiş bir Python betiği (“NPL”) olan bir sonraki aşama yükü var.
Sıçan kurbanın sisteminde aktif olduğunda, işletim sistemi türü, ana bilgisayar adı ve ağ verileri de dahil olmak üzere komut ve kontrol (C2) sunucusuna temel sistem bilgilerini toplar ve gönderir.
Securonix, sıçanın aşağıdaki yetenekleri desteklediğini bildirir:
Dev Popper saldırısının failleri bilinmese de, kötü amaçlı yazılımlarla enfekte etmek için iş yemini yem olarak kullanma taktiği hala yaygındır, bu nedenle insanlar risklerden uyanık kalmalıdır.
Araştırmacılar, yöntemin "geliştiricinin mesleki katılımını ve iş başvurusu sürecine olan güvenini kullandığını, burada görüşmecinin eylemlerini gerçekleştirmeyi reddetmesinin iş fırsatını tehlikeye atabileceğini" belirtiyor, bu da onu çok etkili hale getiriyor.
Kuzey Koreli bilgisayar korsanları, çeşitli platformlar üzerindeki hedeflerini tehlikeye atmak için yıllar boyunca birden fazla operasyon için "sahte iş teklifi" taktikini kullanıyor.
Geçen yıl, güvenlik araştırmacılarına, medya kuruluşlarına, yazılım geliştiricilerine (özellikle DEFI platformları için) bağlantı kurmak ve tehlikeye atmak için sahte iş fırsatlarını kullanan Kuzey Koreli hack grupları hakkında çok sayıda rapor [1, 2, 3, 4, 5] veya havacılık şirketleri.
Mızrak aktı saldırısında, tehdit oyuncusu gazetecileri düşünce kuruluşlarından, araştırma merkezlerinden ve akademik organizasyonlardan istihbarat toplamaları için taklit etti.
Firebird faresi yaratıcısı ve satıcı ABD ve Avustralya'da tutuklandı
Linux için Yeni Bifrost Kötü Yazılım Mimics VMware Alanı Kaçma için
Yeni Brokewell kötü amaçlı yazılım Android cihazları devralır, verileri çalar
Visa, finansal kuruluşları hedefleyen yeni JSoutProx kötü amaçlı yazılım varyantını uyarıyor
Dinodasrat kötü amaçlı yazılım, Casusluk Kampanyasında Linux sunucularını hedefler
Kaynak: Bleeping Computer