网络安全公司Securonix揭露了一起社工活动,名为DEV#POPPER,通过伪装成招聘方的npm恶意包,诱导开发人员下载带有后门的Python软件。威胁者借此攻击系统并收集敏感信息,类似之前OperationDreamJob的活动。奇安信代码卫士提醒开发者保持警惕,确保安全防护。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
网络安全公司 Securonix 指出,一起社工活动正在通过npm 恶意包以招聘为由攻击软件开发人员,诱骗他们下载 Python 后门。这起活动被称为 “DEV#POPPER”,被指与朝鲜威胁行动者有关。
安全研究员 Den luzvyk、Tim Peck 和 Oleg Kolesnikov 表示,“在这些欺诈性面试活动中,开发人员通常被要求执行多项任务,涉及下载和运行看似合法的源如 GitHub的软件。该软件中包含一个恶意的Node JS payload,一旦被执行,则可攻陷开发人员的系统。”
这起活动的详情首次在2023年11月发现,当时 Palo Alto Networks 公司的 Unit 42 团队详述了名为 “Contagious Interview” 的活动集群。威胁人员在面试中伪装成雇主,在面试过程中诱骗软件开发人员安装恶意软件如 BeaverTail 和 InvisibleFerret等。
今年2月早些时候,Phylum 公司在 npm 注册表中发现了一些恶意包它们也传播同样的一家族,嗅探受陷开发人员系统中的敏感信息。值得注意的是,这起攻击活动不同于此前的 “Operation Dream Job”活动。Unit 42表示前者“着重于攻击开发人员,主要是通过自由职业求职门户中的虚假身份,后续阶段涉及使用开发者工具和npm包,导致 BeaverTail 和 InvisibleFerret。”
“Operation Dream Job”活动与朝鲜 Lazarus 组织有关,主要向不知情的受雇于多个行业(如航空、密币、国防等)中的不知情专业人员发送恶意伪装成录用通知书的恶意文件,传播恶意软件。 以色列网络安全公司 ClearSky 率先在2020年开头发现了该攻击活动,它与其他两个Lazarus 黑客组织 Operation Interception和Operation North Star之间存在重叠之处。
Securonix公司最近发现的攻击链首先是托管在 GitHub 上的ZIP压缩文件,可能会在面试过程中发送给目标。该文件包含看似无害的 npm 模块,利用名为 “BeaverTail” 的恶意 JavaScript 代码作为Python后门 InvisibleFerret的信息窃取器和加载器,而该后门源自远程服务器。该植入除了收集系统信息外,还能够执行代码、枚举和渗透文件以及记录剪贴板和键击等。
这一活动表明,朝鲜威胁行动者仍然在充实网络攻击武器库,一直提升能力,隐藏相关动作并融入主机系统和网络,更不用说嗅探数据并以此实施攻陷谋取经济利益。
研究人员表示,“说到社工攻击,维持专注安全的心态,尤其是在紧张和压力情境如工作面试时至关重要。DEV#POPPER背后的攻击者滥用这一点,了解另一端的人员注意力高度分散且处于更脆弱的状态。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
NPM 恶意包通过 GitHub 提取数百个开发者SSH密钥
原文链接
https://thehackernews.com/2024/04/bogus-npm-packages-used-to-trick.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
50
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
