Support us

Зафиксирован новый вид атак с социальной инженерией на разработчиков ПО

Исследователи из PolySwarm недавно зафиксировали несколько случаев изощрённых кибератак с техниками социальной инженерии, направленных на разработчиков ПО. Мошенники используют поддельные собеседования для установки вредоноса, рассказывает SecurityLab.

Оставить комментарий
Зафиксирован новый вид атак с социальной инженерией на разработчиков ПО

Исследователи из PolySwarm недавно зафиксировали несколько случаев изощрённых кибератак с техниками социальной инженерии, направленных на разработчиков ПО. Мошенники используют поддельные собеседования для установки вредоноса, рассказывает SecurityLab.

Злоумышленники маскируются под работодателей, проводящих собеседования на позиции разработчиков. В ходе фальшивых интервью кандидатов просят выполнить технические задачи, например скачать и запустить код с GitHub. Жертвы, сами того не подозревая, загружают вредоносное ПО на свои устройства, предоставляя мошенникам удалённый доступ к системе.

После загрузки файла с NPM-пакетом запускается зашифрованный JavaScript-файл, который выполняет команды «curl» через Node.js. Это приводит к загрузке второго архива, содержащего скрипт DevPopper. Это троян удалённого доступа на Python, который способен проникать в устройства на разных операционных системах.

DevPopper собирает информацию об устройстве, такую как тип ОС, имя хоста и сетевые данные, и отправляет эти сведения на сервер управления. Возможности DevPopper включают создание сетевых сессий, кодирование данных, поддержку постоянных соединений для удалённого контроля, поиск файловой системы и кражу файлов, выполнение удалённых команд для развёртывания дополнительных эксплойтов или вредоносного ПО, ведение журналов буфера обмена и регистрации нажатий клавиш.

4 из 5 рекрутеров постят вакансии-пустышки
4 из 5 рекрутеров постят вакансии-пустышки
По теме
4 из 5 рекрутеров постят вакансии-пустышки

Недавно компания Securonix, которая в апреле первой обнаружила эту вредоносную активность, сообщила, что злоумышленники, стоящие за DevPopper, усовершенствовали свои методы и инструменты и теперь нацеливаются на устройства под управлением не только Linux, но и Windows и MacOS.

Кроме того, в кампанию были добавлены новые варианты вредоносного ПО. Обновлённый DevPopper обладает расширенными возможностями, включая улучшенную функциональность FTP, поддержку шифрованной передачи данных, а также возможность кражи сохранённых учётных данных и сессионных cookie-файлов из популярных браузеров.

Скорее всего, эта кампания является работой северокорейских хакеров, так как она имеет схожие черты с предыдущими атаками, исходящими из КНДР. Жертвами уже стали пользователи в Южной Корее, Северной Америке, Европе и на Ближнем Востоке. В связи с этим разработчикам важно быть осторожными при взаимодействии с потенциальными работодателями в интернете.

80% разработчиков ненавидят свою работу
80% разработчиков ненавидят свою работу
По теме
80% разработчиков ненавидят свою работу
Amazon ужесточила наём на некоторые технические позиции
Amazon ужесточила наём на некоторые технические позиции
По теме
Amazon ужесточила наём на некоторые технические позиции
Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
Хакеры скупают базы паролей и готовятся к масштабной атаке на российский госсектор
Разработчик пиратского софта сдал коллегу, который «спиратил» его код
Разработчик пиратского софта сдал коллегу, который «спиратил» его код
Разработчик пиратского софта сдал коллегу, который «спиратил» его код
Расследование Microsoft: кибератаки из России нацелены на страны НАТО
Расследование Microsoft: кибератаки из России нацелены на страны НАТО
Расследование Microsoft: кибератаки из России нацелены на страны НАТО
«35 тысяч» репозиториев GitHub были клонированы и распространяли малварь
«35 тысяч» репозиториев GitHub были клонированы и распространяли малварь
«35 тысяч» репозиториев GitHub были клонированы и распространяли малварь

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.