安全研究员 Den luzvyk、Tim Peck 和 Oleg Kolesnikov 表示，“在这些欺诈性面试活动中，开发人员通常被要求执行多项任务，涉及下载和运行看似合法的源如 GitHub的软件。该软件中包含一个恶意的Node JS payload，一旦被执行，则可攻陷开发人员的系统。”

这起活动的详情首次在2023年11月发现，当时 Palo Alto Networks 公司的 Unit 42 团队详述了名为 “Contagious Interview” 的活动集群。威胁人员在面试中伪装成雇主，在面试过程中诱骗软件开发人员安装恶意软件如 BeaverTail 和 InvisibleFerret等。

今年2月早些时候，Phylum 公司在 npm 注册表中发现了一些恶意包它们也传播同样的一家族，嗅探受陷开发人员系统中的敏感信息。值得注意的是，这起攻击活动不同于此前的 “Operation Dream Job”活动。Unit 42表示前者“着重于攻击开发人员，主要是通过自由职业求职门户中的虚假身份，后续阶段涉及使用开发者工具和npm包，导致 BeaverTail 和 InvisibleFerret。”

“Operation Dream Job”活动与朝鲜 Lazarus 组织有关，主要向不知情的受雇于多个行业（如航空、密币、国防等）中的不知情专业人员发送恶意伪装成录用通知书的恶意文件，传播恶意软件。 以色列网络安全公司 ClearSky 率先在2020年开头发现了该攻击活动，它与其他两个Lazarus 黑客组织 Operation Interception和Operation North Star之间存在重叠之处。

Securonix公司最近发现的攻击链首先是托管在 GitHub 上的ZIP压缩文件，可能会在面试过程中发送给目标。该文件包含看似无害的 npm 模块，利用名为 “BeaverTail” 的恶意 JavaScript 代码作为Python后门 InvisibleFerret的信息窃取器和加载器，而该后门源自远程服务器。该植入除了收集系统信息外，还能够执行代码、枚举和渗透文件以及记录剪贴板和键击等。

这一活动表明，朝鲜威胁行动者仍然在充实网络攻击武器库，一直提升能力，隐藏相关动作并融入主机系统和网络，更不用说嗅探数据并以此实施攻陷谋取经济利益。

研究人员表示，“说到社工攻击，维持专注安全的心态，尤其是在紧张和压力情境如工作面试时至关重要。DEV#POPPER背后的攻击者滥用这一点，了解另一端的人员注意力高度分散且处于更脆弱的状态。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~