Eine frisch entdeckte Kampagne, bekannt unter dem Namen “Dev Popper”, hat es auf Softwareentwickler abgesehen. Dabei werden gefälschte Vorstellungsgespräche inszeniert, um Entwickler dazu zu bringen, einen Python-basierten Remote-Zugriffstrojaner (RAT) zu installieren.
Die Entwickler werden aufgefordert, angebliche Aufgaben, die mit dem Bewerbungsgespräch zusammenhängen, auszuführen, wie beispielsweise das Herunterladen und Ausführen von Code aus einem GitHub-Repository. Dies soll den gesamten Prozess als legitim erscheinen lassen.
Das eigentliche Ziel der Bedrohungsakteure besteht jedoch darin, ihre Opfer dazu zu verleiten, schädliche Software herunterzuladen, die Systeminformationen sammelt und Fernzugriff auf den Host ermöglicht. Laut Analysen von Securonix wird die Kampagne wahrscheinlich von nordkoreanischen Bedrohungsakteuren orchestriert, basierend auf den beobachteten Taktiken. Die Beweislage für eine klare Zuordnung ist jedoch nicht ausreichend.
Mehrstufige Infektionskette
Die “Dev Popper”-Angriffe umfassen eine mehrstufige Infektionskette, die auf Social Engineering basiert und darauf abzielt, die Ziele durch einen schrittweisen Kompromiss zu täuschen.
Die Angreifer treten zunächst als Arbeitgeber auf, die vorgeben, Softwareentwicklerstellen zu besetzen. Während des Vorstellungsgesprächs werden die Kandidaten aufgefordert, das, was als Standard-Codierungsaufgabe aus einem GitHub-Repository präsentiert wird, herunterzuladen und auszuführen.
Die Datei ist ein ZIP-Archiv, das ein NPM-Paket enthält, welches wiederum eine README.md sowie Frontend- und Backend-Verzeichnisse umfasst. Sobald der Entwickler das NPM-Paket ausführt, wird eine verschleierte JavaScript-Datei (“imageDetails.js”) im Backend-Verzeichnis aktiviert, die ‘curl’-Befehle über den Node.js-Prozess ausführt, um ein weiteres Archiv (“p.zi”) von einem externen Server herunterzuladen. Im Archiv befindet sich die nächste Stufe des Payloads, ein verschleiertes Python-Skript (“npl”), das als RAT fungiert. Sobald der RAT im System des Opfers aktiv ist, sammelt und sendet er grundlegende Systeminformationen an den Command-and-Control (C2) Server, einschließlich Betriebssystemtyp, Hostname und Netzwerkdaten.
Securonix berichtet, dass der RAT folgende Fähigkeiten unterstützt:
- Persistente Verbindungen für fortlaufende Kontrolle.
- Dateisystembefehle zur Suche und zum Diebstahl spezifischer Dateien oder Daten.
- Fernausführungsbefehle für zusätzliche Exploits oder Malware-Verteilung.
- Direkte FTP-Datenexfiltration aus hochinteressanten Ordnern wie ‘Dokumente’ und ‘Downloads’.
- Protokollierung von Zwischenablage und Tastatureingaben zur Überwachung der Benutzeraktivität und möglicherweise zum Erfassen von Anmeldeinformationen.
Obwohl die Urheber des Dev Popper-Angriffs nicht bekannt sind, bleibt die Taktik, Jobangebote als Köder zu verwenden, um Personen mit Malware zu infizieren, weiterhin verbreitet, weshalb Vorsicht geboten ist.
