1714395800
2024-04-29 13:00:00
ソフトウェア開発者が再び偽の求人広告の標的になっている。 新たに観察されたキャンペーンの目的は、以前に確認されたものと同じで、侵害されたエンドポイントにリモート アクセス トロイの木馬 (RAT) を投下し、パスワードやその他の機密データを盗むことです。
これは、サイバーセキュリティ専門家 Securonix の新しいレポートによると、 研究者らは最近、Python 開発者が就職面接プロセスに参加するよう招待されるキャンペーンを観察しました。 このプロセスには、とりわけ、開発者が GitHub からコードをダウンロードして実行するように指示される試用タスクが含まれます。
ただし、このコードには難読化された JavaScript ファイルが含まれており、これが実行されると、RAT のインストールで終わる感染チェーンが引き起こされます。
ラザロは戻ってきたのか?
この RAT は、永続的な接続、ファイル システム コマンド、リモート コマンド実行機能、直接 FTP データ抽出、クリップボードとキーストロークのログなど、さまざまな機能を攻撃者に許可します。
Securonix はこのキャンペーンを「Dev Popper」と名付けました。
研究者らはこのキャンペーンが特定の攻撃者によるものではないとしましたが(決定的な証拠が不足していることを理由に)、Dev Popper には Lazarus Group の痕跡が随所に残っています。
Lazarus は北朝鮮国家支援の脅威アクターであり、過去にも偽の雇用を創出していることが観察されています。 これまでの例では、このグループは説得力のある LinkedIn プロフィールを作成し、ブロックチェーン開発の背景を持つソフトウェア開発者に大きな雇用の機会を提供していました。
攻撃の目的は、Lazarus の特徴の 1 つである開発者の暗号通貨を盗むことでした。 ただし、被害者が GitHub コードをダウンロードして実行するよう招待されたのはこれが初めてです。 以前の例では、攻撃者は、.docx ファイル、.pdf、およびその他のファイル形式に隠れたマルウェアをデバイスに感染させようとしました。
昨年末、研究者らは大規模な偽の求人キャンペーンを発見し、少なくとも50カ国の10万人以上に影響を与えたと考えられている。 被害者が感染したのは、 ランサムウェア、1億ドル以上を強要されました。
経由 ピーピーコンピュータ
TechRadar Pro の詳細
#北朝鮮のハッカーが偽の求人広告を送り被害者のデータを盗もうとしている
