Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Sviluppatori, attenti ai colloqui di lavoro! Scopri cosa si nasconde dietro le offerte di lavoro false

Redazione RHC : 28 Aprile 2024 09:51

I ricercatori hanno scoperto una campagna di hacking chiamata Dev Popper che prende di mira gli sviluppatori di software. Gli aggressori si travestono da datori di lavoro e pubblicizzano posti vacanti fittizi per specialisti IT.

Il loro vero obiettivo è iniettare un pericoloso trojan di accesso remoto (RAT) in Python nei computer delle vittime. Durante il processo di colloquio simulato, ai candidati viene chiesto di completare una “attività di test”: scaricare ed eseguire il codice da un repository su GitHub.

L’attacco viene effettuato in più fasi utilizzando tecniche di ingegneria sociale per compromettere gradualmente il sistema. Per cominciare, viene suggerito di scaricare un archivio ZIP contenente un pacchetto NPM di supporto con un file README.md e cartelle separate per il codice client e server.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Successivamente viene attivato il file JavaScript mascherato imageDetails.js nella directory backend. Attraverso Node.js esegue i comandi curl per scaricare un ulteriore archivio p.zi crittografato da un server esterno.

All’interno dell’archivio p.zi si trova il componente principale dell’attacco: uno script Python npl offuscato, ovvero il Trojan stesso. Una volta che il RAT si trova sulla macchina infetta, raccoglie informazioni di base: tipo di sistema operativo, nome host, dati di rete, che vengono poi inviate al server degli aggressori.

Oltre a raccogliere dati, il Trojan ha una vasta gamma di funzionalità:

  • Supporto di un canale di comunicazione stabile per il controllo remoto
  • Comandi per rilevare e rubare file di interesse dal file system
  • Possibilità di esecuzione remota di codice dannoso
  • Trasferimento diretto dei dati dalla vittima tramite FTP
  • Cattura delle sequenze di tasti e dei dati degli appunti per rubare credenziali

Secondo gli analisti di Securonix , è molto probabile che le tattiche della campagna Dev Popper vengano utilizzate da gruppi di hacker della Corea del Nord, noti per l’utilizzo di tecniche di ingegneria sociale. Tuttavia, non ci sono ancora ragioni sufficienti per incolpare direttamente le autorità della RPDC degli attacchi.

Gli esperti sottolineano che gli aggressori sfruttano abilmente la fiducia degli specialisti IT nel processo di assunzione. La riluttanza a perdere una potenziale opportunità di lavoro a causa della mancata osservanza delle istruzioni del datore di lavoro immaginario rende l’attacco estremamente efficace.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Fortinet e Red Hot Cyber a Scuola! Come spiegare ai Bambini la Cybersecurity: Missione compiuta

Nelle ultime settimane, Fortinet con il supporto di Red Hot Cyber, hanno dato vita a un progetto entusiasmante che ci è sempre stato a cuore: portare la cultura della cybersecurity nelle scuole p...

Matteo Salvini è stato hackerato? Un criminale mette in vendita le sue email per 250 dollari

Un post pubblicato un’ora fa su un noto forum underground ha attirato l’attenzione degli osservatori della sicurezza informatica: un utente con lo pseudonimo “elpatron85” h...

Allarme infostealer: pubblicate email del Comune di Gorizia e aziende italiane

Nelle ultime ore, un noto canale Telegram pubblico collegato ai forum underground ha pubblicato una lista di email aziendali provenienti da Italia e Germania. Il messaggio, visibile in uno screenshot ...

RVTools e Zenmap usati per diffondere Bumblebee: anche Google e Bing nel mirino

È stato recentemente rivelato che il loader Bumblebee è stato distribuito tramite il sito web hackerato RVTools. A quanto pare, gli hacker stanno anche sfruttando la popolarità...

Sarcoma Ransomware: l’anatomia di una minaccia silenziosa ma spietata

Nel panorama sempre più affollato e inquietante del cybercrimine internazionale, una nuova figura ha cominciato ad attirare l’attenzione degli analisti di sicurezza di tutto il mondo: Sarc...