Une Nouvelle Arnaque Inspirée de Méthodes Connues

La méthode utilisée dans la campagne DEV#POPPER n’est pas révolutionnaire.
En effet, elle s’inscrit dans la continuité de techniques déjà employées par des hackers nord-coréens, et rappelle notamment l’Operation Dream Job menée par le célèbre Lazarus Group en 2021.

Cette opération visait à voler des informations personnelles et identifiants de connexion en trompant des chercheurs d’emploi avec de fausses offres.

Ce type de phishing consiste à envoyer des e-mails vérolés aux victimes en utilisant de vrais noms et logos d’entreprises, les redirigeant vers de faux sites web d’apparence légitime.

Une fois la confiance des victimes gagnée, les hackers récupèrent leurs données personnelles pour ensuite les exploiter à des fins malveillantes.
C’est une technique similaire à celle employée pour propager un ancien malware, KaolinRAT, également lié au Lazarus Group.

L’Appât du Faux Exercice de Codage

Dans le cas de DEV#POPPER, les cybercriminels misent sur la crise mondiale de l’emploi pour tendre leur piège.
Ils se font passer pour des employeurs à la recherche de développeurs et, sous prétexte de tester leurs compétences, leur demandent de télécharger une tâche de codage depuis GitHub.

Ce fichier, sous forme d’archive ZIP, contient un package NPM (Node Package Manager), qui inclut divers fichiers et répertoires.

Lorsqu’un développeur exécute le package NPM, un fichier JavaScript (imageDetails.js) est déclenché, utilisant les commandes « curl » via Node.js pour télécharger une seconde archive depuis un serveur distant.

Cette nouvelle archive contient un script Python camouflé, qui agit comme un RAT.

Ce malware RAT a plusieurs fonctionnalités malveillantes.
Il peut prendre le contrôle de l’ordinateur de la victime, voler des fichiers spécifiques, exécuter des commandes à distance, installer d’autres malwares ou même surveiller les saisies clavier pour extraire des informations sensibles.
Cette polyvalence rend le RAT particulièrement dangereux et intrusif.

Une Branche Professionnelle Vulnérable

Dans un marché de l’emploi où la concurrence est rude, les développeurs peuvent être particulièrement vulnérables à ce type d’arnaque.
La menace de perdre une opportunité d’emploi peut pousser les candidats à exécuter des tâches demandées par les recruteurs sans trop de réflexion.

Les STR mettent en garde contre cette arnaque redoutablement efficace, qui exploite la confiance du développeur.

Pour se protéger, il est crucial que les chercheurs d’emploi en développement software soient vigilants face aux offres de travail non sollicitées et prennent des précautions lorsqu’ils reçoivent des tâches à exécuter. Vérifier la légitimité de l’offre et de l’employeur avant de télécharger des fichiers est une étape essentielle pour éviter ce type de piège.

Le Risque Caché Derrière une Opportunité d’Emploi

La campagne DEV#POPPER présente un risque élevé pour les entreprises et individus, notamment les développeurs à la recherche d’emploi.
En effectuant le téléchargement d’un package NPM supposément légitime, les victimes peuvent involontairement permettre l’installation d’un malware intrusif sur leur système.

Ce RAT (Remote Access Trojan) peut non seulement exfiltrer des données sensibles comme des codes sources, des identifiants de connexion et des informations personnelles, mais aussi offrir un accès distant complet aux pirates, compromettant ainsi potentiellement tout le réseau de l’entreprise cible.

Comment se Protéger Efficacement

Pour se prémunir contre ce type de menace, il est essentiel de suivre plusieurs bonnes pratiques.
Tout d’abord, vérifiez toujours l’authenticité de l’employeur avant d’accepter des tâches ou de télécharger des fichiers.
Utilisez des outils de détection de malwares pour analyser les fichiers avant leur ouverture.

De plus, privilégiez les communications via des canaux vérifiés.

Enfin, sensibilisez-vous et formez-vous régulièrement aux enjeux de la cybersécurité afin d’être mieux armé contre ces types d’attaques sophistiquées.