Los atacantes detrás de una campaña de malware en curso que apunta a desarrolladores de software han implementado nuevas tácticas y malware. Este grupo, conocido como DEV#POPPER y relacionado con Corea del Norte, ha ampliado su enfoque para incluir sistemas Windows, Linux y macOS.
La actividad del grupo se ha centrado en víctimas en Corea del Sur, América del Norte, Europa y Medio Oriente.
Según los investigadores de Securonix Den Iuzvyk y Tim Peck, que han compartido un nuevo informe, este tipo de ataque es una forma avanzada de ingeniería social diseñada para manipular a las personas y obtener información confidencial o acciones no deseadas.
DEV#POPPER ha llevado a cabo una campaña de malware que engaña a los desarrolladores para que descarguen software malicioso alojado en GitHub bajo el pretexto de una entrevista de trabajo. Esta táctica es similar a una campaña denominada Contagious Interview, rastreada por Palo Alto Networks Unit 42.
En una investigación reciente, se descubrieron artefactos que indicaban que la campaña afectaba tanto a sistemas Windows como a macOS y proporcionaba una versión actualizada de un malware llamado BeaverTail.
La cadena de ataque documentada por Securonix muestra que los actores de amenazas se hacen pasar por entrevistadores y convencen a los candidatos para que descarguen un archivo ZIP que contiene un módulo npm. Una vez instalado, este módulo desencadena la ejecución de un JavaScript ofuscado (es decir, BeaverTail) que identifica el sistema operativo y se comunica con un servidor remoto para robar datos.
El malware también es capaz de descargar cargas útiles, incluido un backdoor de Python llamado InvisibleFerret, que recopila datos del sistema, accede a cookies de navegadores, ejecuta comandos, sube/descarga archivos, registra pulsaciones de teclas y el contenido del portapapeles.
Las muestras recientes revelan el uso de mayor ofuscación, el software de monitoreo y gestión remota AnyDesk para persistencia, así como mejoras en el mecanismo FTP utilizado para la exfiltración de datos.
Además, el script de Python actúa como un conducto para ejecutar un script auxiliar que roba información sensible de varios navegadores web, incluidos Google Chrome, Opera y Brave, en diferentes sistemas operativos.
Este avance en la campaña original de DEV#POPPER es parte de un ataque de múltiples etapas centrado en la exfiltración de información sensible, con capacidades mucho más robustas, según los investigadores.
Vía The Hacker News
