Un nuovo pericolo si aggira nel mondo della programmazione: annunci di lavoro falsi utilizzati per infiltrare Trojan nei computer. Scopriamo come difendersi.
Un fenomeno inquietante sta insinuandosi nel settore dell’IT, portando gli sviluppatori di software da obiettivi di lavoro a bersagli di cyber attacchi. Uno schema di hacking particolare, denominato Dev Popper, sta prendendo di mira gli specialisti dell’informatica tramite un sistema perverso: postare offerte di lavoro fittizie.
Attraverso un ingannevole processo applicativo somigliante a un classico colloquio di lavoro, i cyber criminali inducono le potenziali vittime a scaricare e installare dal noto sito GitHub un trojan di accesso remoto (detto RAT) osservando il funzionamento di un certo codice.
Il modus operandi dell’attacco è un esempio della pervicacia e della strategia usata dai cyber criminali: tramite raffinate tecniche di ingegneria sociale , vengono pianificate diverse fasi di attacco atte a compremettere i sistemi dei candidati. Inizialmente, agli sviluppatori viene proposto di scaricare un pacchetto NPM in un file .zip, contenente file README.md e codici distinti per client e server.
Il piano si mostra nella sua interezza quando viene richiesta l’esecuzione di un innocuo file JavaScript che, ignaro per la vittima, scarica dall’esterno un archivio p.zi crittografato. Questo archivio contiene l’effettiva minaccia: uno script Python offuscato e malevolo, ovvero il RAT.
Una volta che il Trojan ha infettato il sistema, inizia il suo lavoro di raccolta dati. Oltre a recapitare al server del criminale informazioni come il tipo di sistema operativo, il nome host e i dati della rete, il RAT ha diverse funzionalità dannose come:
- Stabilire un canale di comunicazione stabile per il controllo remoto
- Rilevamento e furto di file di interesse dal sistema
- Capacità di esecuzione remota di codici malevoli
- Trasferimento dei dati della vittima via FTP
- Furto di credenziali attraverso la cattura di sequenze di tasti e dati appunti
La campagna di Dev Popper sembra, secondo gli analisti di Securonix, essere collegabile ai noti gruppi di hacker nordcoreani, per la loro notoria preferenza delle tecniche di ingegneria sociale. Nonostante questa supposizione, non esistono abbastanza prove per incolpare direttamente il governo nordcoreano.
Molto sottile è l’inganno utilizzato dagli aggressori, sfruttando la tipica fiducia degli specialisti IT nel processo di selezione e l’intenso senso di competizione nel loro campo. Non volendo rinunciare all’opportunità di lavoro, gli sviluppatori rischiano di esporre i propri sistemi all’attacco.