朝鲜链接的恶意软件针对Windows、Linux和macOS上的开发人员

针对软件开发人员的持续恶意软件活动背后的威胁行为者展示了新的恶意软件和策略，将他们的重点扩大到Windows、Linux和macOS系统。

该活动集群被称为DEV#POPPER，与朝鲜有关，已发现在韩国、北美、欧洲和中东地区挑出了受害者。

Securonix研究人员Den Iuzvyk和Tim Peck在与《黑客新闻》分享的一份新报告中说，这种攻击形式是一种先进的社会工程形式，旨在操纵个人泄露机密信息或执行他们通常可能不会采取的行动。

DEV#POPPER是分配给一个活跃的恶意软件活动的绰号，该活动欺骗软件开发人员在工作面试的幌子下下载GitHub上托管的陷阱软件。它与帕洛阿尔托网络第42单元以传染性采访的名义跟踪的活动有重叠。

本月早些时候，当研究人员发现了针对Windows和macOS的工件时，出现了该活动范围更广泛且跨平台的迹象，这些伪影提供了名为BeaverTail的恶意软件的更新版本。

Securonix的攻击链文档或多或少是一致的，因为威胁行为者构成开发人员职位的面试官，并敦促候选人下载ZIP存档文件进行编码任务。

存档是一个npm模块，一旦安装，就会触发混淆JavaScript（即BeaverTail）的执行，该JavaScript确定其运行的操作系统，并与远程服务器建立联系以泄露感兴趣的数据。

它还能够下载下一阶段的有效载荷，包括称为InvisibleFerret的Python后门，该后门旨在收集详细的系统元数据，访问存储在网络浏览器中的cookie，执行命令，上传/下载文件，以及日志击键和剪贴板内容。

最近样本中添加的新功能包括使用增强的混淆，AnyDesk远程监控和管理（RMM）软件进行持久性，以及改进用于数据泄露的FTP机制。

此外，Python脚本充当运行辅助脚本的管道，该脚本负责在不同操作系统上从各种网络浏览器（Google Chrome、Opera和Brave）窃取敏感信息。

研究人员说，这种对原始DEV#POPPER活动的复杂扩展继续利用Python脚本执行多阶段攻击，重点是泄露受害者的敏感信息，尽管现在具有更强大的功能。