聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该攻击活动被称为 “DEV#popper”,被指与朝鲜存在关联,将韩国、北美、欧洲和中东的开发人员排除在外。研究人员支出,“这种攻击是社工的高阶形式,旨在操纵个体暴露机密信息或执行正常情况下可能不会进行的操作。”该恶意活动伪装成工作招聘广告,下载托管在 GitHub 上的受陷软件。它与 Palo Alto Networks Unit42 发布的 “Contagious Interview” 活动之间存在重合之处。
该恶意活动的范围更为广泛且跨越平台。本月初,研究人员发现针对 Windows 和 macOS 的制品,传播恶意软件 BeaverTail的更新版本。
Securonix 公司记录的攻击链多多少少是一致的。威胁行动者伪装成开发人员岗位的面试者,并督促候选人下载一个 ZIP 压缩文档文件,完成编程任务。该文档中是一个npm模块,一旦安装就会执行混淆的 JavaScript (即 BeaverTail),判断它所运行的操作系统并与一台远程服务器联系,提取感兴趣的数据。
它还能下载下一阶段payload,包括一个 Python 后台 InvisibleFerret,旨在收集详细的系统元数据、存储在 web 浏览器中的访问 cookie、执行命令、上传/下载文件以及记录键击和剪贴板内容。
最近样本中新增的特征包括使用增强混淆、用于维持持久性的AnyDesk 远程监控和管理软件,以及对用于提取数据的FTP机制的改进。另外,该 Python 脚本用于运行负责从多个 web 浏览器中窃取敏感信息的附加脚本。
研究人员表示,“对原始 DEV#POPPER 活动的深入扩展继续利用 Python 脚本执行专注于窃取受害者敏感信息的多阶段攻击,尽管现在能力得到增强。”
韩国 ERP 厂商服务被黑,用于传播 Xctdoor 恶意软件
https://thehackernews.com/2024/07/north-korea-linked-malware-targets.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~