開發者編碼測試中的惡意程式

黑客繼續針對軟件開發者,甚至造製假的工作面驗,並要求這位「潛在員工」執行GitHub上的script,當然背後早已準備了一個後門陷阱,不要以為比較進階的電腦用戶就一定能發現網絡攻擊,在社交工程面前沒有人能完全免疫。

假招聘、加密遊戲和5.4億美元劫案

其中一個最惡名昭彰的假招聘廣告,就要數到2022年的個案,黑客透過LinkedIn成功與SKy Mavis的資深工程師聯絡,加密遊戲Axie Infinity背後的公司,並向他提出薪金優厚的職位,受到職位的誘惑,受害者認真地完成黑客安排的幾次面試,最後以一個名為「job offer」的PDF檔案告終,而該文件事先已受感染,當這位Sky Mavis僱員下載和打開檔案,間諜程式便會滲透公司網絡,掃瞄公司的基礎設施後,黑客成功取得Axie Infinity內部區域鏈上的5個驗證器私鑰(RonnAxis),擁有這些私鑰黑客就能完全取得儲存在公司錢包內的加密貨幣資產。

結果成為了本世紀其中一宗最大規模的加密貨幣劫案,黑客成功盜取173,600 ETH和25,500,000 USDC,當時價值約5.4億美元。

更多假招聘廣告和惡意程式

在2023年就出現了更多更大規模的假工作機會,借間諜程式來感染開發人員、媒體員工甚至是網絡保安專家,其中一個劇本是有人以大科技公司招聘者的身份,通過LinkedIn聯絡目標人物,經過幾次訊息來往後,目標人士收到了一個「令人興奮的工作機會」,然而要取得這份工作,他們必需完成一個測試以展示自己的編碼技能,該測試是由一條連結中下載一個ISO檔案中的執行檔,執行該檔案便會以NickelLoader惡意程式感染受害者的電腦,安裝miniBlindingCan或LightlessCan其中一款後門程式。

在另一個個案中,攻擊者冒充招聘人員在LinkedIn上與受害者聯繫,然後順暢地把對話轉移至WhatsApp,隨後會發送有工作要求的Microsoft Word檔案,但檔案含有惡意巨集,可以在受害者電腦上安裝PlankWalk後門程式。還有一種劇本是攻擊者針對Linux用戶,利用偽裝成PDF檔的惡意加壓檔名為「HSBC job offer.pdf.zip」,打開後會展示假的工作要求,背後卻在啟動OdicLoader惡意程式,在受害者電腦上安裝SimplexTea後面程式。

以GitHub上的木馬程式進行假編碼測試

近日發現假招聘攻擊以類似的手法作為開端,偽裝成招聘者聯絡目標公司的員工,訛稱正在尋找開發者,在面試的過程中受害者被要求完成一個編碼測試,有別於以往直接發送檔案,這次犯罪份子導引受害者到儲存檔案的GitHub,檔案本身是一個ZIP加壓檔案,內裡是看似安全的node.js項目,然而其中一個元件含有不尋常的長字串,透過特殊格式令快速捲軸時難以發現,該字串內含隱藏危險,是以隱寫法編碼的首階段攻擊。如果受害者執行惡意的項目,該編碼便會下載、解開封包並執行下個階段的編碼,下階段是沒有副檔名的Python檔案,檔案名稱開頭有一個點,向操作系統表明該檔案已隱藏,該腳本會展開下階段攻擊,另一條含有後門編碼的Python腳本。

此外,受害者被惡意程式感染的電腦,會持續與C&C伺服器進行通訊,執行檔案系統指令去尋找和盜竊敏感資料、下載額外惡意程式、盜竊剪貼板的資料、記錄鍵盤輸入,並傳送收集到的數據給攻擊者。這次攻擊者依靠受害者在工作電腦上完成面試和進行測試,讓黑客能存取目標公司的基礎設施,隨後的行動可以分為多種,包括利用受害者公司開發的木馬化軟件,直接從公司帳號盜竊款項。

慎防掉入陷阱

面對社交工程並沒有完美的防禦,只要攻擊者找到合適的方法,理論上所有人都有機會掉入陷阱,但仍然可以大大提升攻擊者要達到目的的難度:

  • 通過專門培訓提升員工的網絡安威脅意識(包括開發者)
  • 在公司所有裝置使用可靠的保安方案
  • 如果內部資源和專門人才有限,考慮使用外部的服務

資料來源:Kaspersky Blog