网路安全专家正向软体开发人员发出警告,关于一种新的威胁,名为「Dev Popper」。这一攻击手法利用假装的工作面试来散布基于 Python 的
。目标开发者被操控下载并执行被精心伪装成典型编程任务的恶意代码,目的是进行工作筛选。
假面试的诱惑
这个活动以看似有前景的工作机会开始。开发人员接到假冒雇主的联络,这些雇主急于填补空缺职位。在面试过程中,候选人被要求从 GitHub资源库下载编码任务。然而,这些任务远非无害,而是精心设计,以便在不知不觉中安装恶意软体。
下载的 ZIP 文件包含一个 NPM 套件,其中隐藏了一个欺骗性的 JavaScript 文件。这个文件名为
“imageDetails.js”,运行命令以从外部来源获取进一步的恶意负载,逐渐侵入开发人员的计算机。
解压恶意软体
这种恶意软体的渗透深度令人担忧。一旦启动,嵌入在名为 “npl” 的 Python 脚本中的 RAT开始将敏感系统信息回传给其控制伺服器。这些信息包括操作系统的细节、主机名和网路数据。
从 imageDetails.js 中提取的混淆 JavaScript 代码 (来源: Securonix)
根据 的报告,这个 RAT 的功能非常广泛:
- 它保持持久连接以便持续访问。
- 它可以执行文件系统命令以定位和窃取敏感文件。
- 它允许远程命令执行以发动进一步攻击。
- 它支持直接从关键文件夹窃取数据并 ,可能会捕获凭证。
持续的威胁环境
利用工作机会作为这些攻击的幌子凸显了科技社群中的持续脆弱性。这种方法尤其隐蔽,因为它利用了开发者的专业承诺和信任。在面试过程中拒绝一项任务可能会危及他们获得工作的机会,使这一骗局相当有效。
这些年来,网路犯罪分子,包括北韩组织,使用类似的策略针对从安全研究员到航空航天员的各类专业人士。「假工作邀约」已证明是这些网路钓鱼和恶意软体攻击的成功途径。
保持警惕:开发者的建议
为了抵御这些复杂的威胁,建议开发者和 IT 专业人员:
验证雇主的身份 :在与任何潜在雇主接触之前,进行彻底的背景调查。通过使用官方网站和 LinkedIn 页面来验证公司的联络信息。如果可能的话,通过官方渠道联系,而不是直接回复未经请求的招聘邮件。
使用安全环境测试代码 :当要求你在面试过程中运行代码时,考虑使用虚拟机或容器。这样可以将你的主操作系统与可能的危害隔离。虚拟机可以轻松恢复到先前状态,清除任何可能不小心安装的恶意软体。
咨询同行或导师 :如果你收到了涉及技术任务的工作邀约或面试请求,与经验丰富的同事或导师讨论。他们或许能提供这些任务是否符合工作面试的洞见。
警惕下载请求 :如果被要求从非官方或可疑来源下载软体或代码,应该保持谨慎。正规雇主通常会使用知名的安全平台进行招聘测试。
安装并定期更新防病毒软体 :确保你的系统使用最新的防病毒软体进行保护,这可以帮助侦测和隔离恶意文件,以免它们造成损害。
阿纳斯·哈桑
2024年4月29日
6个月前
阿纳斯·哈桑是技术极客和网路安全爱好者,在数位转型行业拥有丰富的经验。当阿纳斯不在写部落格时,他会观看足球比赛。
