Подумайте дважды, прежде чем выполнять тестовое задание к понравившейся вакансии.
Исследователи обнаружили хакерскую кампанию под названием Dev Popper, ориентированную на разработчиков программного обеспечения. Злоумышленники маскируются под работодателей и рассылают фиктивные вакансии для IT-специалистов. Их истинной целью является внедрение на компьютеры жертв опасного трояна удаленного доступа (RAT) на языке Python. В процессе мнимого собеседования соискателям предлагают выполнить "тестовое задание" - загрузить и запустить код с репозитория на GitHub.
Атака реализуется в несколько стадий с использованием методик социальной инженерии для постепенного взлома системы. Для начала предлагается скачать ZIP-архив, содержащий вспомогательный NPM-пакет с файлом README.md и отдельными папками для клиентского и серверного кода.
Затем активируется замаскированный JavaScript-файл imageDetails.js в бэкэнд директории. Через Node.js он выполняет команды curl для закачки дополнительного зашифрованного архива p.zi с внешнего сервера.
Внутри архива p.zi находится основной компонент атаки - запутанный Python-скрипт npl, то есть сам троян. Как только RAT оказывается на зараженной машине, он собирает базовую информацию: тип операционной системы, имя хоста, сетевые данные, которые затем отправляются на сервер злоумышленников.
Помимо сбора данных, троян обладает широчайшим функционалом:
Поддержка стабильного канала связи для удаленного управления скомпрометированной системой
Команды для обнаружения и похищения интересующих файлов из файловой системы
Возможность удаленного запуска вредоносного кода
Прямая передача данных с жертвы через FTP из критически важных папок, таких как "Документы" и "Загрузки"
Перехват нажатий клавиш и данных из буфера обмена для кражи учетных данных
По оценке аналитиков Securonix , тактика кампании Dev Popper с высокой долей вероятности используется хакерскими группировками из Северной Кореи, известными применением методик социальной инженерии. Впрочем, для того, чтобы обвинять в атаках власти КНДР напрямую, пока недостаточно оснований.
Эксперты подчеркивают, что злоумышленники искусно эксплуатируют доверие IT-специалистов к процессу трудоустройства. Нежелание упустить потенциальную вакансию из-за невыполнения указаний мнимого работодателя делает атаку чрезвычайно эффективной.
Гравитация научных фактов сильнее, чем вы думаете