聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Securonix 公司提到,一起正在进行中的针对软件开发人员的恶意软件活动展示了新的恶意软件和技术,将目标扩展至 Windows、Linux 和 macOS 系统。
该攻击活动被称为 “DEV#popper”,被指与朝鲜存在关联,将韩国、北美、欧洲和中东的开发人员排除在外。研究人员支出,“这种攻击是社工的高阶形式,旨在操纵个体暴露机密信息或执行正常情况下可能不会进行的操作。”该恶意活动伪装成工作招聘广告,下载托管在 GitHub 上的受陷软件。它与 Palo Alto Networks Unit42 发布的 “Contagious Interview” 活动之间存在重合之处。
该恶意活动的范围更为广泛且跨越平台。本月初,研究人员发现针对 Windows 和 macOS 的制品,传播恶意软件 BeaverTail的更新版本。
Securonix 公司记录的攻击链多多少少是一致的。威胁行动者伪装成开发人员岗位的面试者,并督促候选人下载一个 ZIP 压缩文档文件,完成编程任务。该文档中是一个npm模块,一旦安装就会执行混淆的 JavaScript (即 BeaverTail),判断它所运行的操作系统并与一台远程服务器联系,提取感兴趣的数据。
它还能下载下一阶段payload,包括一个 Python 后台 InvisibleFerret,旨在收集详细的系统元数据、存储在 web 浏览器中的访问 cookie、执行命令、上传/下载文件以及记录键击和剪贴板内容。
最近样本中新增的特征包括使用增强混淆、用于维持持久性的AnyDesk 远程监控和管理软件,以及对用于提取数据的FTP机制的改进。另外,该 Python 脚本用于运行负责从多个 web 浏览器中窃取敏感信息的附加脚本。
研究人员表示,“对原始 DEV#POPPER 活动的深入扩展继续利用 Python 脚本执行专注于窃取受害者敏感信息的多阶段攻击,尽管现在能力得到增强。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
韩国 ERP 厂商服务被黑,用于传播 Xctdoor 恶意软件
FBI:数千名美国企业的远程信息技术合同工资助朝鲜导弹计划多年
原文链接
https://thehackernews.com/2024/07/north-korea-linked-malware-targets.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~