Entrevistas de trabajo falsas apuntan a desarrolladores con backdoors

Iniciado por AXCESS, Abril 28, 2024, 02:53:24 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 28, 2024, 02:53:24 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una nueva campaña denominada "Dev Popper" está dirigida a desarrolladores de software con entrevistas de trabajo falsas en un intento de engañarlos para que instalen un troyano de acceso remoto (RAT) de Python.

A los desarrolladores se les pide que realicen tareas supuestamente relacionadas con la entrevista, como descargar y ejecutar código de GitHub, en un esfuerzo por hacer que todo el proceso parezca legítimo.

Sin embargo, el objetivo del actor de amenazas es hacer que sus objetivos descarguen software malicioso que recopile información del sistema y permita el acceso remoto al host.

Según los analistas de Securonix, la campaña probablemente esté orquestada por actores de amenazas norcoreanos en función de las tácticas observadas. Sin embargo, las conexiones no son lo suficientemente fuertes como para atribuirlas.

Cadena de infección de varias etapas

Los ataques "Dev Popper" implican una cadena de infección de varias etapas basada en ingeniería social, diseñada para engañar a los objetivos mediante un proceso de compromiso progresivo.

Los atacantes inician el contacto haciéndose pasar por empleadores que ofrecen ofertas para cubrir puestos de desarrollador de software. Durante la entrevista, se pide a los candidatos que descarguen y ejecuten lo que se presenta como una tarea de codificación estándar desde un repositorio de GitHub.

El archivo es un archivo ZIP que contiene un paquete NPM, que tiene un archivo No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, así como directorios frontend y backend.

Una vez que el desarrollador ejecuta el paquete NPM, se activa un archivo JavaScript ofuscado ("imageDetails.js") oculto dentro del directorio backend, ejecutando comandos 'curl' a través del proceso Node.js para descargar un archivo adicional ("p.zi") desde un servidor externo.

Dentro del archivo se encuentra la carga útil de la siguiente etapa, un script Python ofuscado ("npl") que funciona como una RAT.

Una vez que RAT está activo en el sistema de la víctima, recopila y envía información básica del sistema al servidor de comando y control (C2), incluido el tipo de sistema operativo, el nombre de host y los datos de red.

Securonix informa que el RAT admite las siguientes capacidades:

     Conexiones persistentes para un control continuo.

     Comandos del sistema de archivos para buscar y robar archivos o datos específicos.

     Capacidades de ejecución remota de comandos para exploits adicionales o implementación de malware.

     Exfiltración directa de datos FTP desde carpetas de alto interés como "Documentos" y "Descargas".

     Portapapeles y registro de pulsaciones de teclas para monitorear la actividad del usuario y posiblemente capturar credenciales.

Aunque se desconocen los autores del ataque de Dev Popper, la táctica de utilizar señuelos laborales como cebo para infectar a las personas con malware sigue prevaleciendo, por lo que la gente debe permanecer atenta a los riesgos.

Los investigadores señalan que el método "explota el compromiso profesional y la confianza del desarrollador en el proceso de solicitud de empleo, donde la negativa a realizar las acciones del entrevistador podría comprometer la oportunidad laboral", lo que lo hace muy eficaz.

Los piratas informáticos norcoreanos han estado utilizando la táctica de la "oferta de trabajo falsa" en múltiples operaciones a lo largo de los años para comprometer sus objetivos en varias plataformas.

El año pasado hubo numerosos informes sobre grupos de hackers norcoreanos que utilizaban oportunidades laborales falsas para conectarse y comprometer a investigadores de seguridad, organizaciones de medios, desarrolladores de software (especialmente para plataformas DeFi) o empleados de empresas aeroespaciales.

En un ataque de phishing, el actor de amenazas se hizo pasar por periodistas para recopilar información de inteligencia de grupos de expertos, centros de investigación y organizaciones académicas.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario