Une nouvelle campagne baptisée « Dev Popper » cible les développeurs de logiciels avec de faux entretiens d’embauche dans le but de les inciter à installer un cheval de Troie d’accès à distance Python (RAT).
Les développeurs sont invités à effectuer des tâches censées être liées à l’entretien, comme le téléchargement et l’exécution de code à partir de GitHub, dans le but de rendre l’ensemble du processus légitime.
Cependant, l’objectif de l’auteur de la menace est de faire en sorte que ses cibles téléchargent des logiciels malveillants qui rassemblent des informations système et permettent un accès à distance à l’hôte.
Selon les analystes de Securonix, la campagne est probablement orchestrée par des acteurs de la menace nord-coréens sur la base des tactiques observées. Les connexions ne sont cependant pas assez solides pour l’attribution.
Chaîne d’infection à plusieurs étapes
Les attaques « Dev Popper » impliquent une chaîne d’infection en plusieurs étapes basée sur l’ingénierie sociale, conçue pour tromper les cibles grâce à un processus de compromis progressif.
Les attaquants initient le contact en se faisant passer pour des employeurs qui proposent de pourvoir des postes de développeurs de logiciels. Au cours de l’entretien, les candidats sont invités à télécharger et à exécuter ce qui est présenté comme une tâche de codage standard à partir d’un référentiel GitHub.
Le fichier est une archive ZIP contenant un package NPM, qui a un README.md ainsi que les répertoires frontend et backend.
Une fois que le développeur exécute le package NPM, un fichier JavaScript obscurci (« imageDetails.js ») caché dans le répertoire principal est activé, exécutant les commandes « curl » via le nœud.processus js pour télécharger une archive supplémentaire (”p. zi ») à partir d’un serveur externe.
À l’intérieur de l’archive se trouve la charge utile de l’étape suivante, un script Python obscurci (“npl”) qui fonctionne comme un RAT.
Une fois que le RAT est actif sur le système de la victime, il collecte et envoie des informations système de base au serveur de commande et de contrôle (C2), y compris le type de système d’exploitation, le nom d’hôte et les données réseau.
Securonix signale que le RAT prend en charge les fonctionnalités suivantes:
- Connexions persistantes pour un contrôle continu.
- Commandes du système de fichiers pour rechercher et voler des fichiers ou des données spécifiques.
- Capacités d’exécution de commandes à distance pour des exploits supplémentaires ou le déploiement de logiciels malveillants.
- Exfiltration directe de données FTP à partir de dossiers à intérêt élevé tels que « Documents » et « Téléchargements ».’
- Journalisation du presse-papiers et des frappes au clavier pour surveiller l’activité des utilisateurs et éventuellement capturer les informations d’identification.
Bien que les auteurs de l’attaque Dev Popper ne soient pas connus, la tactique consistant à utiliser des leurres d’emploi comme appâts pour infecter les gens avec des logiciels malveillants est toujours répandue, les gens doivent donc rester vigilants quant aux risques.
Les chercheurs notent que la méthode « exploite l’engagement professionnel et la confiance du développeur dans le processus de candidature, où le refus d’exécuter les actions de l’intervieweur pourrait compromettre l’opportunité d’emploi », ce qui la rend très efficace.
Les pirates nord-coréens ont utilisé la tactique de la « fausse offre d’emploi » pour de multiples opérations au fil des ans afin de compromettre leurs cibles sur diverses plateformes.
Il y a eu de nombreux rapports [1, 2, 3, 4, 5] l’année dernière, des groupes de piratage nord-coréens ont utilisé de fausses opportunités d’emploi pour se connecter et compromettre des chercheurs en sécurité, des organisations médiatiques, des développeurs de logiciels (en particulier pour les plates-formes DeFi) ou des employés d’entreprises aérospatiales.
Dans une attaque de harponnage, l’auteur de la menace s’est fait passer pour des journalistes pour recueillir des renseignements auprès de groupes de réflexion, de centres de recherche et d’organisations universitaires.