找工作的面試官竟是駭客？新手法「Dev Popper」假面試真木馬鎖定工程師

近期網路上出現一項新詐騙手法「Dev Popper」，專門鎖定工程師、開發者族群，不肖人士假裝要面試軟體開發人員，要求面試者從GitHub下載並運行程式碼，利用看似合法的面試流程，誘騙受害者安裝Python遠端存取木馬（RAT）。

「Dev Popper」攻擊者會冒充成要尋找軟體開發人員的雇主，進到面試過程後，面試者會被要求從GitHub下載並執行標準編寫程式碼的任務。在下載的ZIP檔案中包含NPM套件，內含README.md以及前端和後端directory。

當面試者開始運行NPM套件，隱藏在後端directory的JavaScript檔案（“imageDetails.js”）就會被開啟，透過Node.js進程下載來自外部伺服器的檔案（“p.zi”），其內部即是一個作為RAT的Python腳本（“npl”）。

RAT會收集受害者的基本系統資訊，包括作業系統類型、主機名稱和網路資料，並傳送到C2伺服器。根據分析師，RAT支援的功能還包括：可搜尋、竊取特定檔案的檔案系統命令、用來部屬其他惡意軟體的遠端命令，透過剪貼簿和按鍵記錄來監視受害者活動等。

Dev Popper的攻擊者目前身份不明，但由於北韓駭客已多次透過假工作機會，來聯繫和攻擊安全研究人員、媒體組織、軟體開發人員（尤其是DeFi平台），分析師認為這次的攻擊也可能由北韓策畫，但尚無法證實此推測。

該攻擊相關細節首次出現在2023年底，駭客冒充雇透過面試過程引誘軟體開發人員安裝BeaverTail和InvisibleFerret等惡意軟體。到了今年 2月初，資安公司Phylum在npm registy中發現了一組惡意軟體，從受害者系統中竊取敏感資訊。

以工作面試邀約做為誘餌的攻擊仍普遍存在，其利用開發人員對面試過程的參與和信任，以及面試者不敢拒絕面試官要求的擔憂，讓此類攻擊變得有效，專家也提醒要對這種既有風險保持警惕。

《本文作者Jocelyn，原文刊登於合作媒體INSIDE，聯合新聞網獲授權轉載。》