One Article Review
| Source |  Techworm |
|---|---|
| Identifiant | 8490198 |
| Date de publication | 2024-04-28 22:30:11 (vue: 2024-04-28 17:07:55) |
| Titre | Les développeurs ont été trompés dans de fausses entretiens d'embauche pour télécharger des logiciels malveillants Developers Tricked In Fake Job Interviews To Download Malware |
| Texte | La société de cybersécurité Securonix a découvert une nouvelle campagne d'attaque en génie social en cours qui cible les développeurs de logiciels avec de faux packages NPM sous prétexte de fausses entretiens d'embauche et les incite à télécharger un Trojan à l'accès à distance basé sur Python. . Sur la base des tactiques observées, l'équipe de recherche sur les menaces de Securonix, qui a suivi l'activité sous «Dev # Popper», aurait lié la campagne aux acteurs de la menace nord-coréenne. & # 8220; Au cours de ces interviews frauduleuses, les développeurs sont souvent invités à effectuer des tâches qui impliquent le téléchargement et l'exécution de logiciels à partir de sources qui semblent légitimes, comme Github.Le logiciel contenait une charge utile JS de nœud malveillant qui, une fois exécuté, a compromis le système de développeur, & # 8221; a dit chercheurs en sécurité den iuzvyk, tim peck et oleg kolesnikov dans un article de blog. Cependant, l'objectif de l'acteur de menace est de tromper les cibles dans le téléchargement de logiciels malveillants qui collecte les informations système et permet l'accès à distance à l'hôte. Dans la première étape, une archive zip de GitHub déguisée en une offre pour combler des positions de développeur de logiciels est envoyée à la personne interrogée (dans ce cas, le développeur) pour le téléchargement par l'intervieweur (l'attaquant).L'archive contient un package de gestion de nœuds (NPM) à l'aspect légitime contenant un répertoire Readme.md et Frontend et Backend. Une fois que le développeur exécute le package NPM malveillant, un fichier JavaScript obscurci ("iMageDetails.js") est exécuté via le processus NodeJS (Node.exe) à l'aide de commandes \\ 'curl \'.Le but malveillant du script dans la première étape est simplement de télécharger une archive supplémentaire («p.zi») à partir d'un serveur externe. À l'intérieur de l'archive se trouve la charge utile de l'étape suivante, un fichier python caché (".npl") qui fonctionne comme un rat.Selon leurs paramètres de système d'exploitation, ce fichier Python peut être caché ou non de la vue à l'utilisateur. Une fois que le rat est actif sur le système de la victime, il collecte les informations du système et du réseau à partir d'un ordinateur infecté, puis envoie ces données au serveur de commande et de contrôle (C2), y compris le type de système d'exploitation, le nom d'hôte, la version du système d'exploitationVersion, version du système d'exploitation, nom d'utilisateur de l'utilisateur connecté et un identifiant unique pour l'appareil (UUID) généré par hachage de l'adresse MAC et du nom d'utilisateur. Selon les analystes de Securonix, le rat prend en charge les capacités suivantes: Le réseautage et la création de session sont utilisés pour les connexions persistantes. Fonctions du système de fichiers pour traverser les répertoires, filtrer les fichiers en fonction des extensions et des répertoires spécifiques à exclure, et rechercher et voler des fichiers ou des données spécifiques. Exécution des commandes distantes qui permet l'exécution de commandes et de scripts de shell système, y compris la navigation sur le système de fichiers et l'exécution des commandes de shell. Exfiltration des données FTP directes à partir de divers répertoires d'utilisateurs comme les documents et les téléchargements. La journalisation du presse-papiers et des clés comprend des capacités pour surveiller et exfiltrater le contenu du presse-papiers et les touches. "En ce qui concerne les attaques qui proviennent de l'ingénierie sociale, il est essentiel de m |
| Envoyé | Oui |
| Condensat | “during 2023 abuse access according active activities activity actor actors added additional address aim allegedly allows alto analysts appear archive are asked attack attacker attackers attacks backend bait based behind blog bogus both browsing campaign campaigns capabilities capabilities: case clipboard collects comes command commands company compromised computer connections contained containing contains contents control created creation critical curl cybersecurity data deceive den depending dev#popper developer developer’s developers device direct directories discovered discovered a disguised distracted documents download downloading downloads during employers employment enables end engineering especially espionage exclude exe executed executes executing execution exfiltrate exfiltration extensions external extra fake file files filesystem fill filter financial first focused following fraudulent from frontend ftp functions gain generated github hand has hashing hidden highly host hostname however identifier including infect infected information inside installing intense interview interviewee interviewer interviews into downloading involve iuzvyk javascript job js” keystroke keystrokes knowing kolesnikov korean late legitimate like linked logged logging includes looking lure mac maintain malicious malware manager may mindset monitor more much network networking networks new next node nodejs north not november npl” npm obfuscated observed offer often oleg once ongoing operating opportunities organizations originate other package packages palo parts payload peck people perform persistent person posed positions post potential pretext process purpose python rat readme recommends release remain remote research researchers running said script’s scripts search second security securonix securonix has seeking sends sent separate server session settings shell simply situations social software sought sources specific sponsored stage state steal stressful such supports system tactics targeting targets tasks team theft them then these those threat through tim tracked traverse tricked tricks trojan two type types unauthorized unaware under unique unit used user username using uuid various version victim view vigilant vulnerable which world zip zi” “contagious “dev#popper “imagedetails “the “wagemole “when |
| Tags | Malware Threat |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.