与朝鲜有关的恶意软件瞄准 Windows、Linux 和 macOS 开发人员

针对软件开发人员的持续攻击活动背后的黑客展示了新的战术和策略，并将其重点扩大到 Windows、Linux 和 macOS 系统。

该攻击群被称为DEV#POPPER，与朝鲜有关，其目标人群遍布韩国、北美、欧洲和中东。

Securonix 研究人员 Den Iuzvyk 和 Tim Peck 在一篇报告中表示：“这种攻击形式是社会工程学的一种高级形式，旨在操纵个人泄露机密信息或执行他们通常不会做的事情。”

DEV#POPPER 是一个活跃恶意软件活动的绰号，该活动以求职面试为幌子诱骗软件开发人员下载托管在 GitHub 上的陷阱软件。它与 Palo Alto Networks Unit 42 跟踪的名为Contagious Interview的活动有相似之处。

本月早些时候，研究人员发现针对 Windows 和 macOS 的恶意软件发布了名为 BeaverTail 的更新版本，这表明该活动的范围更广泛且跨平台。

Securonix 的攻击链文档或多或少是一致的，攻击者冒充开发人员职位的面试官，并敦促候选人下载 ZIP 存档文件以完成编码作业。

档案中有一个 npm 模块，一旦安装，就会触发混淆的 JavaScript（即 BeaverTail）的执行，该模块确定其运行的操作系统并与远程服务器建立联系以窃取感兴趣的数据。

它还能够下载下一阶段的有效载荷，包括一个名为 InvisibleFerret 的 Python 后门，旨在收集详细的系统元数据、访问存储在 Web 浏览器中的 cookie、执行命令、上传/下载文件以及记录击键和剪贴板内容。

最近的样本中添加的新功能包括使用增强混淆、AnyDesk 远程监控和管理 (RMM) 软件来实现持久性，以及对用于数据泄露的 FTP 机制的改进。此外，Python 脚本还充当运行辅助脚本的管道，该脚本负责从不同操作系统的各种网络浏览器（Google Chrome、Opera 和 Brave）窃取敏感信息。

研究人员表示：“原始 DEV#POPPER 活动的这一复杂扩展继续利用 Python 脚本执行多阶段攻击，重点是从受害者那里窃取敏感信息，但现在其功能更加强大。”

转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5n1bi4EfPBogESvi1Y7U4A

封面来源于网络，如有侵权请联系删除