یک کمپین مهندسی اجتماعی با هدف قرار دادن توسعه دهندگان نرمافزار راهاندازی شده است. در این کمپین تحت عنوان مصاحبه شغلی از توسعهدهندگان نرمافزار خواسته میشود که برای انجام تسک بستههای جعلی npm که در واقع یک در پشتی است را دانلود کنند.
شرکت امنیت سایبری Securonix این فعالیت را تحت نام DEV#POPPER دنبال و آن را به عوامل کره شمالی مرتبط میکند.
محققین امنیتی Den Iuzvyk, Tim Peck, و Oleg Kolesnikov میگویند: «در طول این مصاحبههای تقلبی، اغلب از توسعهدهندگان خواسته میشود تسکهایی را انجام دهند که شامل دانلود و اجرای نرمافزار از منابعی مانند GitHub است که قانونی و درست بنظر میآیند. “این نرم افزار حاوی یک payload مخرب Node JS است که پس از اجرا، سیستم توسعه دهنده را به خطر میاندازد.”
جزئیات این کمپین برای اولین بار در اواخر نوامبر ۲۰۲۳ ظاهر شد، زمانی که Unit 42 Palo Alto network از یک فعالیت مخرب به نام مصاحبه مسری را صحبت کرد که در آن عوامل تهدید به عنوان کارفرمایان ظاهر میشوند تا توسعه دهندگان نرم افزار را برای نصب بدافزارهایی مانند BeaverTail و InvisibleFerret از طریق فرآیند مصاحبه جذب کنند.
سپس در اوایل ماه فوریه، شرکت امنیتی زنجیره تامین نرمافزار Phylum مجموعهای از بستههای مخرب را در رجیستری npm کشف کرد که شامل همان بدافزارهایی بودند که برای سرقت اطلاعات حساس از روی سیستمهای توسعه دهندگان طراحی شده بودند.
زنجیره حمله که توسط Securonix شرح داده شده است با یک آرشیو ZIP در GitHub شروع میشود که احتمالاً به عنوان بخشی از مصاحبه به هدف ارسال میشود. در داخل فایل یک ماژول npm به ظاهر بیخطر وجود دارد که فایل جاوا اسکریپت مخرب با کد BeaverTail را در خود جای داده است. این فایل به عنوان یک سارق اطلاعات و یک لودر برای درب پشتی پایتون به نام InvisibleFerret که از یک سرور راه دور بازیابی میشود، عمل میکند.
این کدهای مخرب علاوه بر جمعآوری اطلاعات سیستم، قادر به اجرای دستور، جستجو و سرقت فایلها و کیلاگر است.
محققان Securonix میگویند: «وقتی صحبت از حملاتی میشود که از مهندسی اجتماعی سرچشمه میگیرند، حفظ یک ذهنیت متمرکز بر امنیت، به ویژه در موقعیتهای شدید و استرسزا مانند مصاحبههای شغلی بسیار مهم است. مهاجمان پشت کمپینهای DEV#POPPER از این سوء استفاده میکنند، زیرا میدانند که طرف مقابل در وضعیتی بسیار پریشان و آسیبپذیر است.»
منبع: https://thehackernews.com/2024/04/bogus-npm-packages-used-to-trick.html