Sviluppatori, attenti ai colloqui di lavoro! Scopri cosa si nasconde dietro le offerte di lavoro false

Redazione RHC : 28 Aprile 2024 09:51

I ricercatori hanno scoperto una campagna di hacking chiamata Dev Popper che prende di mira gli sviluppatori di software. Gli aggressori si travestono da datori di lavoro e pubblicizzano posti vacanti fittizi per specialisti IT.

Il loro vero obiettivo è iniettare un pericoloso trojan di accesso remoto (RAT) in Python nei computer delle vittime. Durante il processo di colloquio simulato, ai candidati viene chiesto di completare una “attività di test”: scaricare ed eseguire il codice da un repository su GitHub.

L’attacco viene effettuato in più fasi utilizzando tecniche di ingegneria sociale per compromettere gradualmente il sistema. Per cominciare, viene suggerito di scaricare un archivio ZIP contenente un pacchetto NPM di supporto con un file README.md e cartelle separate per il codice client e server.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Successivamente viene attivato il file JavaScript mascherato imageDetails.js nella directory backend. Attraverso Node.js esegue i comandi curl per scaricare un ulteriore archivio p.zi crittografato da un server esterno.

All’interno dell’archivio p.zi si trova il componente principale dell’attacco: uno script Python npl offuscato, ovvero il Trojan stesso. Una volta che il RAT si trova sulla macchina infetta, raccoglie informazioni di base: tipo di sistema operativo, nome host, dati di rete, che vengono poi inviate al server degli aggressori.

Oltre a raccogliere dati, il Trojan ha una vasta gamma di funzionalità:

• Supporto di un canale di comunicazione stabile per il controllo remoto
• Comandi per rilevare e rubare file di interesse dal file system
• Possibilità di esecuzione remota di codice dannoso
• Trasferimento diretto dei dati dalla vittima tramite FTP
• Cattura delle sequenze di tasti e dei dati degli appunti per rubare credenziali

Secondo gli analisti di Securonix , è molto probabile che le tattiche della campagna Dev Popper vengano utilizzate da gruppi di hacker della Corea del Nord, noti per l’utilizzo di tecniche di ingegneria sociale. Tuttavia, non ci sono ancora ragioni sufficienti per incolpare direttamente le autorità della RPDC degli attacchi.

Gli esperti sottolineano che gli aggressori sfruttano abilmente la fiducia degli specialisti IT nel processo di assunzione. La riluttanza a perdere una potenziale opportunità di lavoro a causa della mancata osservanza delle istruzioni del datore di lavoro immaginario rende l’attacco estremamente efficace.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli