找工作的面試官竟是駭客?新手法「Dev Popper」假面試真木馬鎖定工程師

近期網路上出現一項新駭客詐騙手法「Dev Popper」,僞裝面試專門鎖定工程師、開發者族羣。(示意圖/Ingimage)

近期網路上出現一項新詐騙手法「Dev Popper」,專門鎖定工程師、開發者族羣,不肖人士假裝要面試軟體開發人員,要求面試者從GitHub下載並運行程式碼,利用看似合法的面試流程,誘騙受害者安裝Python遠端存取木馬(RAT)。

「Dev Popper」攻擊者會冒充成要尋找軟體開發人員的僱主,進到面試過程後,面試者會被要求從GitHub下載並執行標準編寫程式碼的任務。在下載的ZIP檔案中包含NPM套件,內含README.md以及前端和後端directory。

當面試者開始運行NPM套件,隱藏在後端directory的JavaScript檔案(“imageDetails.js”)就會被開啓,透過Node.js進程下載來自外部伺服器的檔案(“p.zi”),其內部即是一個作爲RAT的Python腳本(“npl”)。

RAT會收集受害者的基本系統資訊,包括作業系統類型、主機名稱和網路資料,並傳送到C2伺服器。根據分析師,RAT支援的功能還包括:可搜尋、竊取特定檔案的檔案系統命令、用來部屬其他惡意軟體的遠端命令,透過剪貼簿和按鍵記錄來監視受害者活動等。

Dev Popper的攻擊者目前身份不明,但由於北韓駭客已多次透過假工作機會,來聯繫和攻擊安全研究人員、媒體組織、軟體開發人員(尤其是DeFi平臺),分析師認爲這次的攻擊也可能由北韓策畫,但尚無法證實此推測。

該攻擊相關細節首次出現在2023年底,駭客冒充僱透過面試過程引誘軟體開發人員安裝BeaverTail和InvisibleFerret等惡意軟體。到了今年 2月初,資安公司Phylum在npm registy中發現了一組惡意軟體,從受害者系統中竊取敏感資訊。

以工作面試邀約做爲誘餌的攻擊仍普遍存在,其利用開發人員對面試過程的參與和信任,以及面試者不敢拒絕面試官要求的擔憂,讓此類攻擊變得有效,專家也提醒要對這種既有風險保持警惕。

《本文作者Jocelyn,原文刊登於合作媒體INSIDE,聯合新聞網獲授權轉載。》