02/08/24
В последние месяцы мир столкнулся с новой кампанией северокорейских хакеров. Кампания DEV#POPPER нацелена на разработчиков ПО и поражает жертв в Южной Корее, Северной Америке, Европе и на Ближнем Востоке. О новой операции киберпреступников рассказали специалисты Securonix, согласно Securitylab.
Хакеры используют методы социальной инженерии, притворяясь работодателями и предлагая разработчикам скачать вредоносное ПО с GitHub под видом тестового задания. Вредонос представляет из себя обновлённую версию BeaverTail и действует на операционных системах Windows, Linux и macOS.
Кампания имеет общие черты с другой известной атакой Contagious Interview, которая ориентирована на Windows и macOS. Обновлённая версия вредоносного ПО BeaverTail использует методы маскировки и распространяется через ZIP-архив, содержащий npm-модуль.
После установки вредоносное ПО определяет операционную систему и связывается с удалённым сервером для эксфильтрации данных (через npm-модуль). Также вредонос может загружать дополнительный Python-бэкдор InvisibleFerret, который собирает системные данные, cookie-файлы, выполняет команды, загружает и скачивает файлы, а также записывает нажатия клавиш и содержимое буфера обмена.
Недавние версии ПО получили улучшенную маскировку и используют программу AnyDesk для удалённой слежки и обеспечения устойчивости, а также усовершенствования механизма FTP для извлечения данных. Python-скрипт также выступает в качестве канала для запуска вспомогательной команды, которая отвечает за кражу конфиденциальной информации из различных веб-браузеров — Google Chrome, Opera и Brave.
