近期網路上出現一項新詐騙 手法「Dev Popper」,專門鎖定工程師、開發者族群,不肖人士假裝要面試 軟體開發人員,要求面試者從GitHub下載 並運行程式碼,利用看似合法的面試流程,誘騙受害者安裝Python遠端 存取木馬(RAT)。
「Dev Popper」攻擊者會冒充成要尋找軟體開發人員的雇主,進到面試過程後,面試者會被要求從GitHub下載並執行標準編寫程式碼的任務。在下載的ZIP檔案 中包含NPM套件,內含README.md以及前端和後端directory。
當面試者開始運行NPM套件,隱藏在後端directory的JavaScript檔案(“imageDetails.js”)就會被開啟,透過Node.js進程下載來自外部伺服器 的檔案(“p.zi”),其內部即是一個作為RAT的Python腳本(“npl”)。
RAT會收集受害者的基本系統資訊,包括作業系統類型、主機 名稱和網路資料,並傳送到C2伺服器。根據分析師,RAT支援的功能還包括:可搜尋、竊取特定檔案的檔案系統命令、用來部屬其他惡意軟體 的遠端命令,透過剪貼簿和按鍵記錄來監視受害者活動等。
Dev Popper的攻擊者目前身份不明,但由於北韓駭客 已多次透過假工作機會,來聯繫和攻擊安全研究人員、媒體組織、軟體開發人員(尤其是DeFi平台),分析師認為這次的攻擊也可能由北韓策畫,但尚無法證實此推測。
該攻擊相關細節首次出現在2023年底,駭客冒充雇透過面試過程引誘軟體開發人員安裝BeaverTail和InvisibleFerret等惡意軟體。到了今年 2月初,資安 公司Phylum在npm registy中發現了一組惡意軟體,從受害者系統中竊取敏感資訊。
以工作面試邀約做為誘餌的攻擊仍普遍存在,其利用開發人員對面試過程的參與和信任,以及面試者不敢拒絕面試官要求的擔憂,讓此類攻擊變得有效,專家也提醒要對這種既有風險保持警惕。
《本文作者Jocelyn,原文刊登於合作媒體INSIDE,聯合新聞網獲授權轉載。》