- Регистрация
- 17 Окт 2015
- Сообщения
- 9.027
- Репутация
- 3.606
- Реакции
- 12.874
Dev Popper: хакеры заманивают в свои сети наивных программистов, ищущих работу
27 апреля, 2024Подумайте дважды, прежде чем выполнять тестовое задание к понравившейся вакансии.
Исследователи обнаружили хакерскую кампанию под названием Dev Popper, ориентированную на разработчиков программного обеспечения. Злоумышленники маскируются под работодателей и рассылают фиктивные вакансии для IT-специалистов. Их истинной целью является внедрение на компьютеры жертв опасного трояна удаленного доступа (Существует две расшифровки аббревиатуры RAT:
• Remote Administration Tool — инструмент удалённого администрирования;
• Remote Access Trojan — троян удалённого доступа.
В обоих случаях подразумевается инструмент, который позволяет производить удалённое подключение к целевой системе и последующее выполнение определённых действий. В зависимости от того, кто использует RAT, законный системный администратор или киберпреступник, меняется как расшифровка аббревиатуры, так и спектр выполняемых действий.
Забавно, что само слово «RAT» можно дословно перевести с английского как «крыса».
RAT на языке Python - высокоуровневый язык программирования общего назначения с динамической строгой типизацией и автоматическим управлением памятью. Он ориентирован на повышение производительности разработчика, читаемости кода и его качества, а также на обеспечение переносимости написанных на нём программ.
Язык является полностью объектно-ориентированным.
Необычная особенность языка - выделение блоков кода пробельными отступами.
Синтаксис ядра языка минималистичен, за счёт чего на практике редко возникает необходимость обращаться к документации
Python. В процессе мнимого собеседования соискателям предлагают выполнить "тестовое задание" - загрузить и запустить код с репозитория на GitHub.
Атака реализуется в несколько стадий с использованием методик социальной инженерии для постепенного взлома системы. Для начала предлагается скачать ZIP-архив, содержащий вспомогательный NPM-пакет с файлом README.md и отдельными папками для клиентского и серверного кода.
Затем активируется замаскированный JavaScript-файл imageDetails.js в бэкэнд директории. Через Node.js он выполняет команды curl для закачки дополнительного зашифрованного архива p.zi с внешнего сервера.
Внутри архива p.zi находится основной компонент атаки - запутанный Python-скрипт npl, то есть сам троян. Как только RAT оказывается на зараженной машине, он собирает базовую информацию: тип операционной системы, имя хоста, сетевые данные, которые затем отправляются на сервер злоумышленников.
Помимо сбора данных, троян обладает широчайшим функционалом:
- Поддержка стабильного канала связи для удаленного управления скомпрометированной системой
- Команды для обнаружения и похищения интересующих файлов из файловой системы
- Возможность удаленного запуска вредоносного кода
- Прямая передача данных с жертвы через FTP из критически важных папок, таких как "Документы" и "Загрузки"
- Перехват нажатий клавиш и данных из буфера обмена для кражи учетных данных
По оценке аналитиков Securonix , тактика кампании Dev Popper с высокой долей вероятности используется хакерскими группировками из Северной Кореи, известными применением методик социальной инженерии. Впрочем, для того, чтобы обвинять в атаках власти КНДР напрямую, пока недостаточно оснований.
Эксперты подчеркивают, что злоумышленники искусно эксплуатируют доверие IT-специалистов к процессу трудоустройства. Нежелание упустить потенциальную вакансию из-за невыполнения указаний мнимого работодателя делает атаку чрезвычайно эффективной.
