Поддельные собеседования для хакеров

Согласно специалистам компании Securonix, был выявлен новый вид хакерской атаки, направленной на программистов. Преступники проводят фальшивые собеседования, на которых уговаривают разработчиков загрузить вредоносное программное обеспечение. Этот распределенный по этапам вид атаки, названный Dev Popper, предположительно исходит от группировки хакеров из Северной Кореи, однако окончательная идентификация пока не была подтверждена.

В процессе интервью предлагается кандидатам загрузить тестовое задание с ресурса GitHub, предположительно для проверки их навыков. На самом деле, это приводит к установке трояна Python, который дает хакерам удаленный доступ к системе жертвы.

Под прикрытием обыденного задания скрывается ZIP-архив с NPM-пакетом, содержащим закамуфлированный JavaScript-файл. При запуске данного файла через Node.js активируется скрытый код, который загружает и устанавливает трояна на компьютер жертвы.

Функционал этого вредоносного ПО позволяет киберпреступникам не только контролировать зараженный компьютер, но и крадет файлы, выполняет команды и даже осуществлять непосредственную FTP-эксфильтрацию данных из папок с документами и загрузками.