DEV#POPPER: северокорейские хакеры охотятся на разработчиков

В последние месяцы мир столкнулся с новой кампанией северокорейских хакеров. Кампания DEV#POPPER нацелена на разработчиков ПО и поражает жертв в Южной Корее, Северной Америке, Европе и на Ближнем Востоке. О новой операции киберпреступников рассказали специалисты Securonix.

Хакеры используют методы социальной инженерии, притворяясь работодателями и предлагая разработчикам скачать вредоносное ПО с GitHub под видом тестового задания. Вредонос представляет из себя обновлённую версию BeaverTail и действует на операционных системах Windows, Linux и macOS.

Кампания имеет общие черты с другой известной атакой Contagious Interview, которая ориентирована на Windows и macOS. Обновлённая версия вредоносного ПО BeaverTail использует методы маскировки и распространяется через ZIP-архив, содержащий npm-модуль.

После установки вредоносное ПО определяет операционную систему и связывается с удалённым сервером для эксфильтрации данных (через npm-модуль). Также вредонос может загружать дополнительный Python-бэкдор InvisibleFerret, который собирает системные данные, cookie-файлы, выполняет команды, загружает и скачивает файлы, а также записывает нажатия клавиш и содержимое буфера обмена.

Недавние версии ПО получили улучшенную маскировку и используют программу AnyDesk для удалённого мониторинга и обеспечения устойчивости, а также усовершенствования механизма FTP для извлечения данных. Python-скрипт также выступает в качестве канала для запуска вспомогательного скрипта, который отвечает за кражу конфиденциальной информации из различных веб-браузеров — Google Chrome, Opera и Brave.

Чтобы защитить себя, необходимо критически оценивать любые предложения и файлы, связанные с собеседованиями, и всегда проверять подлинность источников перед установкой программного обеспечения, даже если оно кажется легитимным.