网络安全公司Securonix近日发现了一个名为“Dev Popper”的新型网络攻击活动,该活动针对软件开发人员,利用虚假的面试流程诱使受害者安装恶意软件,进而窃取受害者供职企业的机密信息。
攻击者会伪装成企业招聘人员,通过邮件或社交媒体联系目标开发者,提供虚假的软件开发职位。在面试过程中,攻击者会要求受害者下载并运行声称来自GitHub的“标准编码任务”,以此让整个过程看起来合法合规。
然而,该代码实际上是一个恶意压缩文件,其中包含一个恶意NPM软件包。这个软件包内嵌了一个名为“imageDetails.js”的混淆JavaScript文件,该文件会通过Node.js进程执行“curl”命令,从外部服务器下载另一个恶意存档“p.zi”。
“p.zi”存档中包含下一个阶段的攻击载荷,也就是一个混淆的Python脚本,充当远程访问木马(RAT)。
一旦RAT在受害者的系统上激活,它就会收集并发送基本系统信息到攻击者的控制服务器,这些信息包括操作系统类型、主机名和网络数据。
Securonix报告称,此RAT具备以下功能:
长期驻留,供攻击者持续控制受害者系统。
执行文件系统命令,以搜索并窃取特定文件或数据。
远程执行命令,用于实施额外的漏洞利用或部署恶意软件。
直接从“文档”和“下载”等重要文件夹窃取数据,通过FTP传输到攻击者服务器。
记录剪贴板内容和按键记录,以监控用户活动并可能窃取凭证。
虽然目前尚无法确定“DevPopper”攻击的幕后黑手,但利用虚假工作机会作为诱饵传播恶意软件的做法仍然屡见不鲜。软件开发人员在求职过程中应该保持警惕,不要轻易下载或运行来历不明的代码,以免遭受网络攻击。
值得注意的是,攻击者正是利用了软件开发人员(包括网络安全专业人士)的职业操守及其对招聘流程的信任。求职者担心拒绝面试官的要求会影响求职机会,因此更容易落入陷阱。