Các tác nhân đe dọa đằng sau một chiến dịch phần mềm độc hại đang diễn ra nhắm vào các nhà phát triển phần mềm đã chứng minh phần mềm độc hại và chiến thuật mới, mở rộng trọng tâm của họ để bao gồm các hệ thống Windows, Linux và macOS.
Nhóm hoạt động, được đặt tên là DEV # POPPER và liên kết với Bắc Triều Tiên, đã được tìm thấy đã chọn ra các nạn nhân trên khắp Hàn Quốc, Bắc Mỹ, Châu Âu và Trung Đông.
DEV # POPPER là biệt danh được gán cho một chiến dịch phần mềm độc hại đang hoạt động lừa các nhà phát triển phần mềm tải xuống phần mềm bị mắc kẹt được lưu trữ trên GitHub dưới vỏ bọc phỏng vấn xin việc. Nó trùng lặp với một chiến dịch được theo dõi bởi Palo Alto Networks Unit 42 dưới tên Contagious Interview.
Các dấu hiệu cho thấy chiến dịch rộng hơn và đa nền tảng về phạm vi đã xuất hiện vào đầu tháng này khi các nhà nghiên cứu phát hiện ra các hiện vật nhắm vào cả Windows và macOS cung cấp phiên bản cập nhật của phần mềm độc hại có tên BeaverTail.
Tài liệu chuỗi tấn công của Securonix ít nhiều nhất quán ở chỗ các tác nhân đe dọa đóng giả làm người phỏng vấn cho vị trí nhà phát triển và thúc giục các ứng cử viên tải xuống tệp lưu trữ ZIP cho một bài tập mã hóa.
Trình bày với kho lưu trữ là một mô-đun npm, sau khi được cài đặt, sẽ kích hoạt việc thực thi JavaScript bị xáo trộn (tức là BeaverTail) xác định hệ điều hành mà nó đang chạy và thiết lập liên lạc với máy chủ từ xa để trích xuất dữ liệu quan tâm.
Nó cũng có khả năng tải xuống các tải trọng giai đoạn tiếp theo, bao gồm một backdoor Python được gọi là InvisibleFerret, được thiết kế để thu thập siêu dữ liệu hệ thống chi tiết, truy cập cookie được lưu trữ trong trình duyệt web, thực thi lệnh, tải lên / tải xuống tệp, cũng như đăng nhập tổ hợp phím và nội dung clipboard.
Các tính năng mới được thêm vào các mẫu gần đây bao gồm việc sử dụng xáo trộn nâng cao, phần mềm quản lý và giám sát từ xa AnyDesk (RMM) để duy trì sự bền bỉ và cải tiến cơ chế FTP được sử dụng để lọc dữ liệu.
Hơn nữa, tập lệnh Python hoạt động như một ống dẫn để chạy một tập lệnh phụ trợ chịu trách nhiệm đánh cắp thông tin nhạy cảm từ các trình duyệt web khác nhau - Google Chrome, Opera và Brave - trên các hệ điều hành khác nhau.