恶意软件攻击Windows、Linux 和 macOS 开发人员

该攻击活动被称为 “DEV#popper”，被指与朝鲜存在关联，将韩国、北美、欧洲和中东的开发人员排除在外。研究人员支出，“这种攻击是社工的高阶形式，旨在操纵个体暴露机密信息或执行正常情况下可能不会进行的操作。”该恶意活动伪装成工作招聘广告，下载托管在 GitHub 上的受陷软件。它与 Palo Alto Networks Unit42 发布的 “Contagious Interview” 活动之间存在重合之处。

该恶意活动的范围更为广泛且跨越平台。本月初，研究人员发现针对 Windows 和 macOS 的制品，传播恶意软件 BeaverTail的更新版本。

Securonix 公司记录的攻击链多多少少是一致的。威胁行动者伪装成开发人员岗位的面试者，并督促候选人下载一个 ZIP 压缩文档文件，完成编程任务。该文档中是一个npm模块，一旦安装就会执行混淆的 JavaScript （即 BeaverTail），判断它所运行的操作系统并与一台远程服务器联系，提取感兴趣的数据。

它还能下载下一阶段payload，包括一个 Python 后台 InvisibleFerret，旨在收集详细的系统元数据、存储在 web 浏览器中的访问 cookie、执行命令、上传/下载文件以及记录键击和剪贴板内容。

最近样本中新增的特征包括使用增强混淆、用于维持持久性的AnyDesk 远程监控和管理软件，以及对用于提取数据的FTP机制的改进。另外，该 Python 脚本用于运行负责从多个 web 浏览器中窃取敏感信息的附加脚本。

研究人员表示，“对原始 DEV#POPPER 活动的深入扩展继续利用 Python 脚本执行专注于窃取受害者敏感信息的多阶段攻击，尽管现在能力得到增强。”