الأمن السيبراني Windows, أنظمة, البرامج, التشغيل, الشمالية, الضارة, المرتبطة, المطورين, بكوريا, تستهدف, على, وLinux, وmacOS eshrag يوليو 31, 2024

تستهدف البرامج الضارة المرتبطة بكوريا الشمالية المطورين على أنظمة التشغيل Windows وLinux وmacOS

31 يوليو 2024رافي لاكشمانانالبرمجيات الخبيثة / تطوير البرمجيات

أظهرت الجهات الفاعلة التي تقف وراء حملة البرامج الضارة المستمرة التي تستهدف مطوري البرامج برامج ضارة وتكتيكات جديدة، مما أدى إلى توسيع نطاق تركيزها ليشمل أنظمة Windows وLinux وmacOS.

مجموعة النشاط مدبلجة ديف#بوبير والمرتبط بكوريا الشمالية، وقد تبين أنه استهدف الضحايا في جميع أنحاء كوريا الجنوبية وأمريكا الشمالية وأوروبا والشرق الأوسط.

وقال باحثا سيكيورونكس، دين إوزفيك وتيم بيك، في دراسة جديدة: “هذا النوع من الهجوم هو شكل متقدم من أشكال الهندسة الاجتماعية، مصمم للتلاعب بالأفراد لإفشاء معلومات سرية أو القيام بأفعال قد لا يقومون بها عادة”. تقرير تمت مشاركتها مع The Hacker News.

DEV#POPPER هو اللقب المخصص لحملة البرامج الضارة النشطة التي تخدع مطوري البرامج لتنزيل برامج مفخخة مستضافة على GitHub تحت ستار مقابلة عمل. إنها تشترك في التداخلات مع حملة تتبعها وحدة Palo Alto Networks 42 تحت اسم Contagious Interview.

ظهرت دلائل على أن الحملة كانت أوسع نطاقًا ومتعددة المنصات في وقت سابق من هذا الشهر عندما اكتشف الباحثون عناصر استهدفت كلاً من نظامي التشغيل Windows وmacOS والتي قدمت نسخة محدثة من برنامج ضار يسمى BeaverTail.

تعتبر وثيقة سلسلة الهجوم التي أعدتها Securonix متسقة إلى حد ما من حيث أن الجهات الفاعلة في التهديد تشكل كمحاورين لمنصب مطور وتحث المرشحين على تنزيل ملف أرشيف ZIP لمهمة الترميز.

يوجد مع الأرشيف وحدة npm التي، بمجرد تثبيتها، تؤدي إلى تنفيذ JavaScript غامض (أي BeaverTail) الذي يحدد نظام التشغيل الذي يعمل عليه ويقيم اتصالاً مع خادم بعيد لتصفية البيانات محل الاهتمام.

كما أنه قادر على تنزيل حمولات المرحلة التالية، بما في ذلك الباب الخلفي لـ Python المشار إليه باسم InvisibleFerret، والذي تم تصميمه لجمع بيانات تعريف النظام التفصيلية، والوصول إلى ملفات تعريف الارتباط المخزنة في متصفحات الويب، وتنفيذ الأوامر، وتحميل/تنزيل الملفات، بالإضافة إلى تسجيل ضغطات المفاتيح والحافظة. محتوى.

تشمل الميزات الجديدة المضافة إلى العينات الحديثة استخدام التشويش المحسن، وبرنامج AnyDesk للمراقبة والإدارة عن بعد (RMM) للاستمرارية، وتحسينات على آلية FTP المستخدمة لاستخراج البيانات.

علاوة على ذلك، يعمل نص Python كقناة لتشغيل برنامج نصي إضافي مسؤول عن سرقة المعلومات الحساسة من متصفحات الويب المختلفة – Google Chrome، وOpera، وBrave – عبر أنظمة تشغيل مختلفة.

وقال الباحثون: “يستمر هذا الامتداد المتطور لحملة DEV#POPPER الأصلية في الاستفادة من نصوص بايثون لتنفيذ هجوم متعدد المراحل يركز على سرقة المعلومات الحساسة من الضحايا، على الرغم من أنه يتمتع الآن بقدرات أكثر قوة”.

وجدت هذه المادة مثيرة للاهتمام؟ اتبعنا تويتر و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link