«Вы нам подходите, осталось запустить этот файл». Как разработчики скачивают вирусы вместо работы
Группировка NICKEL ALLEY крадет криптовалюту через поддельные тестовые задания.
Собеседование мечты может обернуться установкой вредоносной программы, а тестовое задание – кражей криптовалюты. За такими атаками стоит группировка NICKEL ALLEY, связанная с Северной Кореей. Злоумышленники выдают себя за работодателей и методично заманивают разработчиков в ловушку.
Специалисты Sophos разобрали свежие случаи кампании Contagious Interview и заметили, что схема почти не меняется. Злоумышленники создают фальшивые страницы компаний в LinkedIn, поднимают аккаунты на GitHub и приглашают кандидатов на «собеседование». Дальше жертве предлагают выполнить тестовое задание, которое на деле запускает вредоносный код.
Один из основных приёмов получил название ClickFix. Кандидату показывают страницу с «ошибкой» и предлагают запустить команду, чтобы «исправить проблему». На деле команда скачивает архив с сервера злоумышленников, распаковывает файлы во временную папку Windows и запускает сценарий. В цепочке заражения используют переименованный интерпретатор Python и файл с названием вроде nvidia.py, маскирующийся под системный компонент.
В результате запускается троян PyLangGhost. Программа умеет выполнять команды, собирать данные о системе, красть файлы, а также вытаскивать пароли и файлы cookie из браузеров. Особый интерес вызывают расширения с криптокошельками в Google Chrome, что прямо указывает на финансовую мотивацию атак.
Инфраструктуру злоумышленники обновляют быстро. Домены для атак регистрируют за считанные дни до использования. Например, один из адресов появился менее чем за две недели до начала кампании. На таких сайтах размещают поддельные страницы с ошибками, чтобы не вызвать подозрений у тех, кто решит проверить ссылку вручную.
Помимо «собеседований», NICKEL ALLEY активно работает через репозитории с кодом. Жертве предлагают скачать проект с GitHub и запустить его через стандартные команды вроде npm install. Внутри скрывается вредоносный код, который связывается с сервером и загружает другой троян, например BeaverTail или OtterCookie.
Иногда злоумышленники идут ещё дальше и маскируют вредоносные действия под функции среды разработки Visual Studio Code. В конфигурационных файлах проекта прячут команды, которые автоматически скачивают и запускают вредоносный код, как только пользователь открывает папку с проектом.
Внешне такие «компании» выглядят правдоподобно, но выдают себя мелкими деталями. Сайты собирают на шаблонах, страницы содержат несостыковки в доменах, а описания выглядят обобщённо. В одном случае ссылка в LinkedIn вела на сайт реальной аэрокосмической компании, не связанной с атакой.
Главная цель кампании – кража криптовалюты, но сценарий может развиваться дальше. Получив доступ к рабочему компьютеру разработчика, злоумышленники могут атаковать компанию через цепочку поставок или заняться промышленным шпионажем. Поэтому злоумышленники часто настаивают, чтобы код запускали именно на рабочей машине.
Такие атаки бьют по разработчикам, особенно в финансовой и технологической сферах. Компании рекомендуют отслеживать подозрительные команды, запуск программ из временных папок и сетевую активность, связанную с Node.js. А сотрудникам советуют настороженно относиться к неожиданным предложениям работы и не запускать чужой код без проверки.