31 de julio de 2024Ravie LakshmananMalware / Desarrollo de software Los actores de amenazas detrás de una campaña de malware en curso dirigida a los desarrolladores de software han demostrado un nuevo malware y tácticas, ampliando su enfoque para incluir sistemas Windows, Linux y macOS. Se ha descubierto que el grupo de actividades, denominado DEV#POPPER y vinculado a Corea del Norte, ha identificado víctimas en Corea del Sur, América del Norte, Europa y Oriente Medio. «Esta forma de ataque es una forma avanzada de ingeniería social, diseñada para manipular a las personas para que divulguen información confidencial o realicen acciones que normalmente no harían», dijeron los investigadores de Securonix Den Iuzvyk y Tim Peck en un nuevo informe compartido con The Hacker News. DEV#POPPER es el apodo asignado a una campaña de malware activa que engaña a los desarrolladores de software para que descarguen software con trampa alojado en GitHub bajo la apariencia de una entrevista de trabajo. Comparte superposiciones con una campaña rastreada por Palo Alto Networks Unit 42 bajo el nombre de Contagious Interview. Las señales de que la campaña era más amplia y multiplataforma surgieron a principios de este mes cuando los investigadores descubrieron artefactos dirigidos tanto a Windows como a macOS que entregaban una versión actualizada de un malware llamado BeaverTail. El documento de la cadena de ataque de Securonix es más o menos consistente en que los actores de la amenaza se hacen pasar por entrevistadores para un puesto de desarrollador e instan a los candidatos a descargar un archivo ZIP para una tarea de codificación. Presente con el archivo hay un módulo npm que, una vez instalado, desencadena la ejecución de un JavaScript ofuscado (es decir, BeaverTail) que determina el sistema operativo en el que se ejecuta y establece contacto con un servidor remoto para exfiltrar datos de interés. También es capaz de descargar cargas útiles de la siguiente etapa, incluida una puerta trasera de Python conocida como InvisibleFerret, que está diseñada para recopilar metadatos detallados del sistema, acceder a las cookies almacenadas en los navegadores web, ejecutar comandos, cargar / descargar archivos, así como registrar pulsaciones de teclas y contenido del portapapeles. Las nuevas características añadidas a las muestras recientes incluyen el uso de ofuscación mejorada, el software de monitorización y gestión remota (RMM) de AnyDesk para la persistencia y mejoras en el mecanismo FTP empleado para la exfiltración de datos. Además, el script de Python actúa como un conducto para ejecutar un script auxiliar que se encarga de robar información confidencial de varios navegadores web (Google Chrome, Opera y Brave) en diferentes sistemas operativos. «Esta sofisticada extensión de la campaña original DEV#POPPER sigue aprovechando los scripts de Python para ejecutar un ataque de varias etapas centrado en la exfiltración de información confidencial de las víctimas, aunque ahora con capacidades mucho más sólidas», afirmaron los investigadores. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.