"Dev Popper"라는 새로운 캠페인이 소프트웨어 개발자들을 대상으로 가짜 면접을 통해 Python 원격 접근 트로이 목마(RAT)를 설치하도록 속이는 시도를 하고 있습니다. 개발자들은 면접과 관련된 작업을 수행하도록 요청받는데, 이는 GitHub에서 코드를 다운로드하고 실행하는 것을 포함합니다. 이 과정은 전체 과정이 합법적으로 보이도록 하기 위한 것입니다. 그러나 위협 요소의 목표는 시스템 정보를 수집하고 호스트에 원격 접근을 가능하게 하는 악성 소프트웨어를 대상자들이 다운로드하게 하는 것입니다.
Securonix 분석가들에 따르면, 이 캠페인은 관찰된 전술을 기반으로 북한의 위협 요소에 의해 주도되고 있을 가능성이 있습니다. "Dev Popper" 공격은 사회 공학을 기반으로 한 다단계 감염 체인을 포함하며, 점진적인 침해 과정을 통해 대상을 속이도록 설계되었습니다. 공격자들은 소프트웨어 개발자 직위를 채우려는 고용주로 가장하며 연락을 시작합니다. 면접 도중, 지원자들은 GitHub 저장소에서 표준 코딩 작업으로 제시되는 것을 다운로드하고 실행하도록 요청받습니다.
RAT가 피해자의 시스템에서 활성화되면, OS 유형, 호스트 이름, 네트워크 데이터를 포함한 기본 시스템 정보를 수집하고 명령 및 제어(C2) 서버로 보냅니다. Securonix는 RAT가 지속적인 연결, 파일 시스템 명령, 원격 명령 실행 기능, 직접 FTP 데이터 유출, 클립보드 및 키스트로크 로깅 등의 기능을 지원한다고 보고하였습니다.
요약
- "Dev Popper"라는 새로운 캠페인이 소프트웨어 개발자들을 대상으로 가짜 면접을 통해 Python 원격 접근 트로이 목마(RAT)를 설치하도록 속이는 시도를 하고 있다.
- 이 캠페인은 북한의 위협 요소에 의해 주도되고 있을 가능성이 있으며, 사회 공학을 기반으로 한 다단계 감염 체인을 포함하고 있다.
- RAT가 활성화되면, 기본 시스템 정보를 수집하고 명령 및 제어(C2) 서버로 보낸다. 이는 지속적인 연결, 파일 시스템 명령, 원격 명령 실행 기능, 직접 FTP 데이터 유출, 클립보드 및 키스트로크 로깅 등의 기능을 지원한다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.