Даследчыкі з PolySwarm нядаўна зафіксавалі некалькі выпадкаў выдасканаленых кібератак з тэхнікамі сацыяльнай інжынерыі, накіраваных на распрацоўшчыкаў софту. Ашуканцы выкарыстоўваюць падробленыя сумоўі для ўсталёўкі шкодніка, расказвае SecurityLab.
Даследчыкі з PolySwarm нядаўна зафіксавалі некалькі выпадкаў выдасканаленых кібератак з тэхнікамі сацыяльнай інжынерыі, накіраваных на распрацоўшчыкаў софту. Ашуканцы выкарыстоўваюць падробленыя сумоўі для ўсталёўкі шкодніка, расказвае SecurityLab.
Зламыснікі маскіруюцца пад працадаўцаў, якія праводзяць гутаркі на пазіцыі распрацоўшчыкаў. У ходзе фальшывых інтэрв’ю кандыдатаў просяць выканаць тэхнічныя задачы, напрыклад, спампаваць і запусціць код з GitHub. Ахвяры, самі таго не падазраючы, загружаюць шкодны софт на свае прылады, даючы ашуканцам аддалены доступ да сістэмы.
Пасля загрузкі файла з NPM-пакетам запускаецца зашыфраваны JavaScript-файл, які выконвае каманды «curl» праз Node.js. Гэта прыводзіць да загрузкі другога архіва, які змяшчае скрыпт DevPopper. Гэта траян аддаленага доступу на Python, здольны пранікаць у прылады на розных аперацыйных сістэмах.
DevPopper збірае інфармацыю пра прыладу, такую як тып АС, імя хоста і сеткавыя даныя, і адпраўляе гэтыя звесткі на сервер кіравання. Магчымасці DevPopper уключаюць стварэнне сеткавых сесій, кадаванне даных, падтрымку пастаянных злучэнняў для аддаленага кантролю, пошук файлавай сістэмы і крадзеж файлаў, выкананне аддаленых каманд для разгортвання дадатковых эксплойтаў або шкоднага софту, вядзенне часопісаў буфера абмену і рэгістрацыі націскаў клавіш.
Нядаўна кампанія Securonix, якая ў красавіку першай выявіла гэтую шкодную актыўнасць, паведаміла, што зламыснікі, якія стаяць за DevPopper, удасканалілі свае метады і інструменты і цяпер нацэльваюцца на прылады пад кіраваннем не толькі Linux, але і Windows і MacOS.
Акрамя таго, у кампанію былі дададзеныя новыя варыянты шкоднага софту. Абноўлены DevPopper мае пашыраныя магчымасці, уключаючы палепшаную функцыянальнасць FTP, падтрымку шыфраванай перадачы даных, а таксама магчымасць крадзяжу захаваных уліковых даных і сесійных cookie-файлаў з папулярных браўзераў.
Хутчэй за ўсё, гэтая кампанія з’яўляецца работай паўночнакарэйскіх хакераў, бо яна мае падобныя рысы з папярэднімі нападамі, якія зыходзілі з КНДР. Ахвярамі ўжо сталі карыстальнікі ў Паўднёвай Карэі, Паўночнай Амерыцы, Еўропе і на Блізкім Усходзе. У сувязі з гэтым распрацоўшчыкам важна быць асцярожнымі пры ўзаемадзеянні з патэнцыйнымі працадаўцамі ў інтэрнэце.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.