عوامل تهدید کره شمالی از یک برنامه کنفرانس ویدیویی جعلی ویندوزی که جعل هویت FreeConference.com به سیستمهای توسعهدهنده درب پشتی است، به عنوان بخشی از یک کمپین مالی مستمر تحت عنوان Contagious Interview استفاده کردهاند.
موج حمله جدید که توسط شرکت سنگاپوری Group-IB در آگوست 2024 مشاهده شد، نشاندهنده آن است که فعالیت مذکور از نصبکنندههای بومی ویندوز و MacOS اپل برای ارائه بدافزارها استفاده میکند. Contagious Interview که با نام DEV#POPPER نیز ردیابی میشود، کمپین مخربی است که توسط عوامل تهدید کره شمالی معروف به Chollima تنظیم شده است.
زنجیرههای حمله با یک مصاحبه شغلی ساختگی شروع میشوند و کارجویان را فریب میدهند تا پروژه Node.js را دانلود و اجرا کنند که حاوی بدافزار دانلودر BeaverTail است. این بدافزار نیز درب پشتی پایتون چند پلتفرمی تحت عنوان InvisibleFerret را توزیع میکند که مجهز به کنترل از راه دور، keylogging، و قابلیت سرقت مرورگر است. برخی از نمونههای BeaverTail که به عنوان یک سارق اطلاعات نیز عمل میکند، به شکل بدافزار جاوا اسکریپت ظاهر شدهاند که معمولاً از طریق پکیجهای جعلی npm به عنوان بخشی از ارزیابی فنی ادعا شده در طول فرآیند مصاحبه توزیع میشود.
https://thehackernews.com/2024/09/north-korean-hackers-targets-job.html
