恶意软件攻击Windows、Linux 和 macOS 开发人员

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Securonix 公司提到，一起正在进行中的针对软件开发人员的恶意软件活动展示了新的恶意软件和技术，将目标扩展至 Windows、Linux 和 macOS 系统。

该攻击活动被称为 “DEV#popper”，被指与朝鲜存在关联，将韩国、北美、欧洲和中东的开发人员排除在外。研究人员支出，“这种攻击是社工的高阶形式，旨在操纵个体暴露机密信息或执行正常情况下可能不会进行的操作。”该恶意活动伪装成工作招聘广告，下载托管在 GitHub 上的受陷软件。它与 Palo Alto Networks Unit42 发布的 “Contagious Interview” 活动之间存在重合之处。

该恶意活动的范围更为广泛且跨越平台。本月初，研究人员发现针对 Windows 和 macOS 的制品，传播恶意软件 BeaverTail的更新版本。

Securonix 公司记录的攻击链多多少少是一致的。威胁行动者伪装成开发人员岗位的面试者，并督促候选人下载一个 ZIP 压缩文档文件，完成编程任务。该文档中是一个npm模块，一旦安装就会执行混淆的 JavaScript （即 BeaverTail），判断它所运行的操作系统并与一台远程服务器联系，提取感兴趣的数据。

它还能下载下一阶段payload，包括一个 Python 后台 InvisibleFerret，旨在收集详细的系统元数据、存储在 web 浏览器中的访问 cookie、执行命令、上传/下载文件以及记录键击和剪贴板内容。

最近样本中新增的特征包括使用增强混淆、用于维持持久性的AnyDesk 远程监控和管理软件，以及对用于提取数据的FTP机制的改进。另外，该 Python 脚本用于运行负责从多个 web 浏览器中窃取敏感信息的附加脚本。

研究人员表示，“对原始 DEV#POPPER 活动的深入扩展继续利用 Python 脚本执行专注于窃取受害者敏感信息的多阶段攻击，尽管现在能力得到增强。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

软件生产力工具遭劫持，分发恶意软件

韩国 ERP 厂商服务被黑，用于传播 Xctdoor 恶意软件

NSA提醒称朝鲜黑客正在利用薄弱的DMARC邮件策略

FBI：数千名美国企业的远程信息技术合同工资助朝鲜导弹计划多年

软件供应链投毒 — NPM 恶意组件分析（二）

软件供应链投毒 — NPM 恶意组件分析