Severokorejský malware cílí na vývojáře používající Windows, Linux i macOS

Zločinci spjatí se Severní Koreou rozšířili své útoky na vývojáře používající platformy Windows, Linux a macOS. Aktivita známá jako DEV#POPPER byla identifikována u obětí v Jižní Koreji, Severní Americe, Evropě a na Středním východě.

DEV#POPPER se zaměřuje na vývojáře pomocí technik sociálního inženýrství. Útočníci se vydávají za náboráře a přesvědčují zájemce o vývojářské pozice, aby si stáhli infikovaný software z GitHubu pod záminkou pracovního pohovoru. Tento typ útoku sdílí podobnosti s kampaní, kterou sleduje Palo Alto Networks pod názvem Contagious Interview.

Když si vývojář stáhne ZIP archiv obsahující škodlivý kód, nainstaluje se npm modul, který spustí obfuskovaný JavaScript BeaverTail, který zjišťuje, na jakém operačním systému běží, a poté navazuje spojení s vzdáleným serverem, načež dojde k exfiltraci dat. Skript může také stáhnout na infikované zařízení další škodlivé soubory, včetně Python backdooru InvisibleFerret, který shromažďuje systémová data, přistupuje ke cookies z prohlížečů, vykonává příkazy, nahrává a stahuje soubory a zaznamenává stisky kláves i obsah schránky.

Nejnovější verze tohoto malwaru zahrnují vylepšené techniky obfuskace, použití softwaru AnyDesk pro vzdálenou správu a monitorování a vylepšené FTP mechanismy pro exfiltraci dat. Python skript navíc nyní umožňuje krádež citlivých informací z webových prohlížečů jako jsou Google Chrome, Opera a Brave na různých operačních systémech.

Tato zjištění ukazují, že navzdory mezinárodní izolaci Severní Korea nadále aktivně působí v kybernetickém prostoru, přičemž využívá technologie ze zemí jako Čína a Rusko k provádění sofistikovaných kybernetických operací.

Zdroj ilustračního obrázku: Innova Labs from Pixabay

Zdroj: The Hacker News