Una campaña de ingeniería social en curso está dirigida a desarrolladores de software con paquetes npm falsos bajo la apariencia de una entrevista de trabajo para engañarlos y descargar una puerta trasera de Python.
La empresa de ciberseguridad Securonix está rastreando la actividad bajo el nombre DEV#POPPER , vinculándola con actores de amenazas norcoreanos.
«Durante estas entrevistas fraudulentas, a menudo se pide a los desarrolladores que realicen tareas que implican descargar y ejecutar software de fuentes que parecen legítimas, como GitHub», dijeron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov . «El software contenía una carga útil maliciosa de Node JS que, una vez ejecutada, comprometía el sistema del desarrollador».
Los detalles de la campaña surgieron por primera vez a finales de noviembre de 2023, cuando la Unidad 42 de Palo Alto Networks detalló un grupo de actividades denominado Entrevista Contagiosa en el que los actores de amenazas se hacen pasar por empleadores para atraer a los desarrolladores de software para que instalen malware como BeaverTail e InvisibleFerret a través del proceso de entrevista.
Luego, a principios de febrero, la empresa de seguridad de la cadena de suministro de software Phylum descubrió un conjunto de paquetes maliciosos en el registro npm que entregaban las mismas familias de malware para desviar información confidencial de los sistemas de desarrollo comprometidos.
Vale la pena señalar que se dice que Contagious Interview es diferente de Operation Dream Job (también conocido como DeathNote o NukeSped ), y la Unidad 42 le dijo a The Hacker News que la primera está «centrada en apuntar a desarrolladores, principalmente a través de identidades falsas en portales de empleo independientes, y el Las próximas etapas implican el uso de herramientas de desarrollo y paquetes npm que conducen a […] BeaverTail e InvisibleFerret».
La Operación Dream Job, vinculada al prolífico Grupo Lazarus de Corea del Norte, es una campaña ofensiva de larga duración que envía a profesionales desprevenidos empleados en diversos sectores como el aeroespacial, las criptomonedas, la defensa y otros archivos maliciosos disfrazados de ofertas de trabajo para distribuir malware.
Descubierto por primera vez por la empresa israelí de ciberseguridad ClearSky a principios de 2020, también muestra superposiciones con otros dos grupos de Lazarus conocidos como Operación In(ter)cepción y Operación Estrella del Norte.
La cadena de ataque detallada por Securonix comienza con un archivo ZIP alojado en GitHub que probablemente se envía al objetivo como parte de la entrevista. Dentro del archivo hay un módulo npm aparentemente inofensivo que alberga un archivo JavaScript malicioso con nombre en código BeaverTail que actúa como un ladrón de información y un cargador para una puerta trasera de Python llamada InvisibleFerret que se recupera de un servidor remoto.
El implante, además de recopilar información del sistema, es capaz de ejecutar comandos, enumerar y extraer archivos, y registrar el portapapeles y las pulsaciones de teclas.
Este desarrollo es una señal de que los actores de amenazas norcoreanos continúan perfeccionando una serie de armas para su arsenal de ataques cibernéticos, actualizando constantemente sus técnicas con capacidades mejoradas para ocultar sus acciones y mezclarse con los sistemas y redes anfitriones, sin mencionar el desvío de datos y convertir los compromisos en ganancias financieras.
«Cuando se trata de ataques que se originan mediante ingeniería social, es fundamental mantener una mentalidad centrada en la seguridad, especialmente durante situaciones intensas y estresantes como entrevistas de trabajo», dijeron los investigadores de Securonix.
«Los atacantes detrás de las campañas DEV#POPPER abusan de esto, sabiendo que la persona al otro lado está muy distraída y en un estado mucho más vulnerable».
Fuente y redacción: thehackernews.com