Νέα εκστρατεία κακόβουλου λογισμικού (malware) DEV#POPPER, στοχεύει software developers σε συστήματα Windows, Linux και macOS.
Η εκστρατεία αυτή σχετίζεται με τη Βόρεια Κορέα και έχει εντοπιστεί να στοχεύει θύματα στη Νότια Κορέα, τη Βόρεια Αμερική, την Ευρώπη και τη Μέση Ανατολή.
«Αυτή η μορφή επίθεσης είναι μια εξελιγμένη μορφή κοινωνικής μηχανικής (social engineering), σχεδιασμένη ώστε να χειραγωγεί άτομα προκειμένου να αποκαλύψουν εμπιστευτικές πληροφορίες ή να προβούν σε ενέργειες που κανονικά θα έπρεπε να αποφύγουν», ανέφεραν οι ερευνητές της Securonix, Den Iuzvyk και Tim Peck, σε μια νέα έκθεση που δημοσιεύθηκε στο The Hacker News.
Δείτε περισσότερα: Hackers στοχεύουν προγραμματιστές Python με ψεύτικο πακέτο “Crytic-Compilers” στο PyPI
OpenAI o1: Ανακαλύπτοντας τις ικανότητες του AI μοντέλου
Το DEV#POPPER είναι το όνομα που αποδίδεται σε μια ενεργή καμπάνια κακόβουλου λογισμικού που εξαπατά software developers να κατεβάσουν κακόβουλο λογισμικό, το οποίο φιλοξενείται στο GitHub υπό το πρόσχημα μιας συνέντευξης εργασίας. Αυτή η εκστρατεία έχει επίσης κοινούς τρόπους δράσης με την Contagious Interview, που παρακολουθείται από την Palo Alto Networks Unit 42.
Ενδείξεις ότι η καμπάνια είχε ευρύτερη εμβέλεια και καλύπτει πολλές πλατφόρμες εμφανίστηκαν αυτό τον μήνα, όταν ερευνητές ανακάλυψαν τεχνικές που στοχεύουν τόσο στα Windows όσο και στο macOS, παρέχοντας μια ενημερωμένη έκδοση ενός κακόβουλου λογισμικού ονόματι BeaverTail.
Το έγγραφο της Securonix σχετικά με την αλυσίδα επίθεσης επιβεβαιώνει ότι οι παράγοντες απειλών εμφανίζονται ως συνεντευκτές για θέσεις προγραμματιστών, προτρέποντας τους υποψηφίους να κατεβάσουν ένα ZIP αρχείο για μια αποστολή κωδικοποίησης.
Μαζί με το αρχείο περιλαμβάνεται μια λειτουργική μονάδα npm που, μόλις εγκατασταθεί, ενεργοποιεί την εκτέλεση μιας κακόβουλης JavaScript (δηλαδή, BeaverTail), η οποία προσδιορίζει το λειτουργικό σύστημα στο οποίο εκτελείται και δημιουργεί σύνδεση με έναν απομακρυσμένο διακομιστή για την εξαγωγή δεδομένων ενδιαφέροντος.
Επιπλέον, το BeaverTail έχει τη δυνατότητα να κατεβάζει ωφέλιμα φορτία επόμενου σταδίου, συμπεριλαμβανομένης μιας πύλης Python που ονομάζεται InvisibleFerret. Αυτή η πύλη είναι σχεδιασμένη για τη συλλογή λεπτομερών μεταδεδομένων του συστήματος, την πρόσβαση σε cookies που αποθηκεύονται στους φυλλομετρητές, την εκτέλεση εντολών, τη μεταφόρτωση/λήψη αρχείων, καθώς και την καταγραφή πληκτρολογήσεων και περιεχομένου από το πρόχειρο.
Τα νέα χαρακτηριστικά που προστέθηκαν στα πρόσφατα δείγματα περιλαμβάνουν τη χρήση βελτιωμένης συσκότισης, λογισμικού απομακρυσμένης παρακολούθησης και διαχείρισης AnyDesk (RMM) για επιμονή, καθώς και βελτιώσεις στον μηχανισμό FTP που χρησιμοποιείται για την εξαγωγή δεδομένων.
Διαβάστε επίσης: Σενάρια Python και PHP εκτελούνται απροειδοποίητα λόγω σφάλματος στο WhatsApp
Επιπλέον, το Python script λειτουργεί ως αγωγός για την εκτέλεση μιας βοηθητικής δέσμης ενεργειών, υπεύθυνης για την κλοπή ευαίσθητων πληροφοριών από διάφορους προγράμματα περιήγησης ιστού, όπως το Google Chrome, το Opera και το Brave, σε διαφορετικά λειτουργικά συστήματα.
«Αυτή η εξελιγμένη εκδοχή της αρχικής καμπάνιας DEV#POPPER αξιοποιεί τα Python scripts για να εκτελέσει μια πολύπλοκη, πολυδιάστατη επίθεση που στοχεύει στην εξαγωγή ευαίσθητων πληροφοριών από τα θύματα, προσφέροντας πλέον πολύ ισχυρότερες δυνατότητες», ανέφεραν οι ερευνητές.
Η Recorded Future αποκάλυψε ότι οι Βορειοκορεάτες συνεχίζουν να χρησιμοποιούν ξένη τεχνολογία – όπως συσκευές της Apple, της Samsung, της Huawei και της Xiaomi, καθώς και διάφορες πλατφόρμες κοινωνικών μέσων όπως το Facebook, το X, το Instagram, το WeChat, το LINE και το QQ – για να αποκτούν πρόσβαση στο διαδίκτυο, παρά τις αυστηρές κυρώσεις που τους επιβάλλονται.
Μια άλλη σημαντική αλλαγή στη συμπεριφορά των χρηστών του διαδικτύου συνδέεται με τη χρήση εικονικών ιδιωτικών δικτύων (VPN) και μεσολαβητών για την παράκαμψη της λογοκρισίας και της επιτήρησης, καθώς και τη χρήση λογισμικού προστασίας από ιούς της McAfee. Αυτό υποδηλώνει ότι η χώρα δεν είναι τόσο απομονωμένη όσο φαίνεται.
Δείτε ακόμη: Κινέζοι hackers στοχεύουν ιαπωνικές εταιρείες με LODEINFO και NOOPDOOR Malware
«Παρά τις κυρώσεις, η Βόρεια Κορέα συνεχίζει να εισάγει ξένη τεχνολογία, συχνά μέσω των εμπορικών σχέσεων με την Κίνα και τη Ρωσία», αναφέρει η εταιρεία. «Αυτό υποδηλώνει μια στροφή προς μεγαλύτερη ευαισθητοποίηση σχετικά με την ασφάλεια, καθώς οι χρήστες προσπαθούν να αποφύγουν τον εντοπισμό από το καθεστώς.»
Πηγή: thehackernews
 DEV#POPPER, στοχεύει software developers σε συστήματα Windows, Linux και macOS.){kind=link}