Dev Popper: хакеры заманивают в свои сети наивных программистов, ищущих работу

Исследователи обнаружили хакерскую кампанию под названием Dev Popper, ориентированную на разработчиков программного обеспечения. Злоумышленники маскируются под работодателей и рассылают фиктивные вакансии для IT-специалистов. Их истинной целью является внедрение на компьютеры жертв опасного трояна удаленного доступа (RAT) на языке Python. В процессе мнимого собеседования соискателям предлагают выполнить "тестовое задание" - загрузить и запустить код с репозитория на GitHub.

Атака реализуется в несколько стадий с использованием методик социальной инженерии для постепенного взлома системы. Для начала предлагается скачать ZIP-архив, содержащий вспомогательный NPM-пакет с файлом README.md и отдельными папками для клиентского и серверного кода.

Затем активируется замаскированный JavaScript-файл imageDetails.js в бэкэнд директории. Через Node.js он выполняет команды curl для закачки дополнительного зашифрованного архива p.zi с внешнего сервера.

Внутри архива p.zi находится основной компонент атаки - запутанный Python-скрипт npl, то есть сам троян. Как только RAT оказывается на зараженной машине, он собирает базовую информацию: тип операционной системы, имя хоста, сетевые данные, которые затем отправляются на сервер злоумышленников.

Помимо сбора данных, троян обладает широчайшим функционалом:

• Поддержка стабильного канала связи для удаленного управления скомпрометированной системой

• Команды для обнаружения и похищения интересующих файлов из файловой системы

• Возможность удаленного запуска вредоносного кода

• Прямая передача данных с жертвы через FTP из критически важных папок, таких как "Документы" и "Загрузки"

• Перехват нажатий клавиш и данных из буфера обмена для кражи учетных данных

По оценке аналитиков Securonix , тактика кампании Dev Popper с высокой долей вероятности используется хакерскими группировками из Северной Кореи, известными применением методик социальной инженерии. Впрочем, для того, чтобы обвинять в атаках власти КНДР напрямую, пока недостаточно оснований.

Эксперты подчеркивают, что злоумышленники искусно эксплуатируют доверие IT-специалистов к процессу трудоустройства. Нежелание упустить потенциальную вакансию из-за невыполнения указаний мнимого работодателя делает атаку чрезвычайно эффективной.