Читайте нас в Tелеграм и Яндекс Дзен
Злоумышленники DEV#POPPERы используют для атаки тестовые задания с собеседований. Исследователи из Securonix приписывают эту угрозу северокорейскому агенту.
Согласно Securonix, в процессе поддельного собеседования кандидатов просят загрузить проекты с кодом из авторитетных источников, таких как GitHub, а затем развернуть их на своих компьютерах. Эти проекты включают десятки законных файлов, но один из них имеет сильно запутанную функцию JavaScript, которая запускает цепочку заражения.
В ходе последней итерации атаки кандидатов просили загрузить файл под названием onlinestoreforhirog.zip, который, как следует из названия, представляется как исходный код для проекта интернет-магазина. Поскольку это проект a Node.js, разработчиков просят распаковать его, затем запустить “npm install” и “npm start” для его развертывания, что приведет к запуску скрытого JavaScript.
Вредоносный код использует несколько методов обфускации, включая кодировку Base64, динамические имена функций и переменных, конкатенацию и разделение строк, а также обфускацию прототипов. Только 3 из 64 антивирусных систем VirusTotal на момент обнаружения определили этот файл как подозрительный.
.webp)
