Gli attori delle minacce dietro una campagna di malware in corso hanno dimostrato nuove tattiche e un nuovo malware, ampliando il loro raggio d'azione per includere sistemi Windows, Linux e macOS. Il gruppo di attività, denominato DEV#POPPER e collegato alla Corea del Nord, ha preso di mira vittime in Corea del Sud, Nord America, Europa e Medio Oriente. Questa forma di attacco rappresenta un avanzato esempio di ingegneria sociale, progettata per manipolare gli individui a rivelare informazioni confidenziali o a compiere azioni che normalmente non farebbero.

DEV#POPPER

DEV#POPPER è il nome dato a una campagna di malware attiva che inganna gli sviluppatori di software facendoli scaricare software infettato ospitato su GitHub sotto la copertura di un colloquio di lavoro. Condivide somiglianze con una campagna tracciata da Palo Alto Networks Unit 42 sotto il nome di Contagious Interview. Segni che la campagna fosse più ampia e su più piattaforme sono emersi all'inizio del mese quando i ricercatori hanno scoperto artefatti che prendevano di mira sia Windows che macOS, distribuendo una versione aggiornata di un malware chiamato BeaverTail.

Il documento della catena di attacco di Securonix è più o meno coerente nel mostrare che gli attori delle minacce si spacciano per intervistatori per una posizione di sviluppatore e spingono i candidati a scaricare un file ZIP per un incarico di codifica. Presente nell'archivio c'è un modulo npm che, una volta installato, innesca l'esecuzione di un JavaScript offuscato (cioè BeaverTail) che determina il sistema operativo su cui è in esecuzione e stabilisce un contatto con un server remoto per esfiltrare dati di interesse.

È anche in grado di scaricare payload di fase successiva, incluso un backdoor Python chiamato InvisibleFerret, progettato per raccogliere metadati di sistema dettagliati, accedere ai cookie memorizzati nei browser web, eseguire comandi, caricare/scaricare file e registrare contenuti della tastiera e degli appunti.

Le nuove funzionalità aggiunte ai campioni recenti includono l'uso di offuscamento avanzato, il software di monitoraggio e gestione remota (RMM) AnyDesk per la persistenza e miglioramenti al meccanismo FTP utilizzato per l'esfiltrazione dei dati. Inoltre, lo script Python funge da condotto per eseguire uno script ausiliario responsabile del furto di informazioni sensibili da vari browser web – Google Chrome, Opera e Brave – attraverso diversi sistemi operativi.

Questa estensione sofisticata alla campagna originale DEV#POPPER continua a sfruttare script Python per eseguire un attacco a più fasi focalizzato sull'esfiltrazione di informazioni sensibili dalle vittime, sebbene ora con capacità molto più robuste. Le scoperte arrivano mentre Recorded Future ha rivelato che i nordcoreani hanno continuato a utilizzare tecnologie straniere – come dispositivi Apple, Samsung, Huawei e Xiaomi, nonché varie piattaforme di social media come Facebook, X, Instagram, WeChat, LINE e QQ – per accedere a Internet nonostante le pesanti sanzioni.