网络安全公司Securonix正在跟踪一起社会工程活动,称为“DEV#POPPER”,该活动以面试为诱饵,以虚假的npm包为目标,并试图欺骗开发人员下载Python后门。
攻击者冒充雇主进行面试,并要求开发人员下载和运行软件,其中包含恶意的Node JS有效载荷,导致系统被破坏。
此活动最初于2023年11月下旬出现,被称为Contagious Interview,后来发现了一组恶意软件包,它们在npm注册表上提供相同的恶意软件家族。该攻击与Operation Dream Job相关,专门针对航空航天、加密货币、国防等领域的专业人士。
攻击链始于GitHub上的ZIP存档,可能作为面试的一部分发送给目标,其中包含一个看似无害的npm模块,但实际上包含了恶意JavaScript文件和Python后门加载器。此外,攻击者能够收集系统信息、执行命令、文件枚举、剪贴板和击键记录等操作。这一发展显示朝鲜威胁行为者不断更新其攻击技术,并不断调整其贸易技巧,以获取经济利益。Securonix研究人员强调,在面对源自社会工程的攻击时,保持安全意识至关重要,特别是在压力下进行面试等情况下。