Хакеры открывают охоту на разработчиков под видом работодателей

Аналитики Securonix выявили новый вид хакерской атаки, ориентированной на программистов. Злоумышленники организуют поддельные собеседования, в ходе которых склоняют разработчиков к загрузке зловредного программного обеспечения. Эта многоэтапная атака Dev Popper, вероятно, исходит от северокорейских хакеров, хотя полная атрибуция пока не подтверждена.

В процессе собеседования кандидатам предлагается скачать тестовое задание с GitHub, якобы для проверки их компетенций. Однако на самом деле это действие приводит к инсталляции трояна Python, который предоставляет хакерам удаленный доступ к системе жертвы.

Под видом обычного задания скрывается ZIP-архив с NPM-пакетом, содержащим маскированный JavaScript-файл. При запуске этого файла через Node.js активируется скрытый код, который скачивает и устанавливает трояна на компьютер жертвы.

Функционал этого трояна позволяет злоумышленникам не только контролировать зараженный компьютер, но и красть файлы, выполнять команды и даже осуществлять прямую FTP-эксфильтрацию данных из папок с документами и загрузками.