Một chiến dịch kỹ thuật xã hội đang diễn ra đang nhắm mục tiêu vào các nhà phát triển phần mềm với các gói npm không có thật dưới vỏ bọc phỏng vấn xin việc để lừa họ tải xuống một backdoor Python.
Công ty an ninh mạng Securonix đang theo dõi hoạt động dưới tên DEV#POPPER, liên kết nó với các tác nhân đe dọa Triều Tiên.
"Trong các cuộc phỏng vấn gian lận này, các nhà phát triển thường được yêu cầu thực hiện các tác vụ liên quan đến việc tải xuống và chạy phần mềm từ các nguồn có vẻ hợp pháp, chẳng hạn như GitHub", các nhà nghiên cứu bảo mật Den Iuzvyk, Tim Peck và Oleg Kolesnikov cho biết. "Phần mềm chứa một tải trọng Node JS độc hại, một khi được thực thi, sẽ xâm phạm hệ thống của nhà phát triển."
Chi tiết về chiến dịch lần đầu tiên xuất hiện vào cuối tháng 11/2023, khi Đơn vị 42 của Palo Alto Networks trình bày chi tiết một cụm hoạt động có tên Contagious Interview, trong đó các tác nhân đe dọa đóng giả là nhà tuyển dụng để thu hút các nhà phát triển phần mềm cài đặt phần mềm độc hại như BeaverTail và InvisibleFerret thông qua quá trình phỏng vấn.
Sau đó, vào đầu tháng Hai này, công ty bảo mật chuỗi cung ứng phần mềm Phylum đã phát hiện ra một tập hợp các gói độc hại trên sổ đăng ký npm cung cấp cùng một họ phần mềm độc hại để hút thông tin nhạy cảm từ các hệ thống nhà phát triển bị xâm nhập.
Điều đáng chú ý là Contagious Interview được cho là khác với Operation Dream Job (hay còn gọi là DeathNote hoặc NukeSped), với Đơn vị 42 nói với The Hacker News rằng trước đây "tập trung vào việc nhắm mục tiêu các nhà phát triển, chủ yếu thông qua danh tính giả trong các cổng việc làm tự do và các giai đoạn tiếp theo liên quan đến việc sử dụng các công cụ dành cho nhà phát triển và các gói npm dẫn đến [...] BeaverTail và InvisibleFerret."
Chiến dịch Dream Job, liên kết với Tập đoàn Lazarus từ Bắc Triều Tiên, là một chiến dịch tấn công kéo dài gửi các chuyên gia không nghi ngờ làm việc trong các lĩnh vực khác nhau như hàng không vũ trụ, tiền điện tử, quốc phòng và các tệp độc hại khác mặc quần áo như lời mời làm việc để phân phối phần mềm độc hại.
Lần đầu tiên được phát hiện bởi công ty an ninh mạng Israel ClearSky vào đầu năm 2020, nó cũng thể hiện sự trùng lặp với hai cụm Lazarus khác được gọi là Chiến dịch đánh chặn (ter) và Chiến dịch Sao Bắc Đẩu.
Bộ cấy, bên cạnh việc thu thập thông tin hệ thống, có khả năng thực thi lệnh, liệt kê và lọc tệp, ghi nhật ký clipboard và tổ hợp phím.
Sự phát triển này là một dấu hiệu cho thấy các tác nhân đe dọa Triều Tiên tiếp tục trau dồi một loạt vũ khí cho kho vũ khí tấn công mạng của họ, liên tục cập nhật thương mại của họ với khả năng cải thiện để che giấu hành động của họ và trà trộn vào các hệ thống và mạng máy chủ, chưa kể đến việc hút dữ liệu và biến thỏa hiệp thành lợi ích tài chính.
"Khi nói đến các cuộc tấn công bắt nguồn từ kỹ thuật xã hội, điều quan trọng là phải duy trì tư duy tập trung vào bảo mật, đặc biệt là trong các tình huống căng thẳng và căng thẳng như phỏng vấn xin việc", các nhà nghiên cứu của Securonix cho biết.
"Những kẻ tấn công đằng sau các chiến dịch DEV#POPPER lạm dụng điều này, biết rằng người ở đầu bên kia đang ở trong tình trạng bị phân tâm cao và dễ bị tổn thương hơn nhiều."