Une back door est dissimulée dans un faux entretien d'embauche pour les développeurs © RossHelen / Shutterstock
Une back door est dissimulée dans un faux entretien d'embauche pour les développeurs © RossHelen / Shutterstock

Les développeurs web sont la nouvelle cible de hackers, probablement nord-coréens, qui se font passer pour des recruteurs et introduisent un malware de type RAT, qui repose sur sur le langage Python, dans une fausse épreuve de codage.

DEV#POPPER, tel est le sobriquet plutôt cynique qu'ont donné les chercheurs du Securonix Threat Research (STR) à cette nouvelle campagne de malware qui se répend par une back door. Celle-ci est dite nouvelle, parce qu'elle est récente. Mais la feinte, elle, ne l'est pas, et elle a même conduit le STR sur la piste de hackers nord-coréens.

C'est en effet par le biais d'un faux entretien d'embauche que de tout aussi faux recruteurs appâtent leurs victimes, des développeurs de logiciels. Ils leur envoient une tâche de codage qui dissimule une back door par laquelle ils introduisent un malware RAT, qui repose sur un script Python obscurci. Ce processus n'est pas sans rappeler d'autres méthodes souvent utilisées par le célèbre Lazarus Group, en provenance de la Corée du Nord lui aussi.

Des similitudes avec d'autres campagnes de malware nord-coréennes

DEV#POPPER pourrait bien être une campagne de malware de plus lancée par la Corée du Nord. Sans pour autant mettre en avant des preuves irréfutables, les chercheurs du STR ont mis en parallèle d'autres attaques similaires nord-coréennes passées.

La plus connue d'entre elles, baptisée « OperationDreamJob », a été lancée en 2021 par le Lazarus Group. Elle cible des centaines de chercheurs d'emploi, et avec de fausses offres, elle essaie de voler leurs informations personnelles et leurs identifiants de connexion. Le procédé est simple : les hackers envoient des e-mails de phishing aux victimes qui utilisent de vrais noms et logos d'entreprises.

Les e-mails sont quant à eux vérolés et contiennent des liens vers de faux sites web d'entreprises sur lesquels les victimes, en confiance, vont communiquer leurs données personnelles. Les hackers vont ensuite les utiliser pour les dépouiller. Cette technique ressemble d'ailleurs fortement à celle utilisée par des hackers ayant déployé une nouvelle version de KaolinRAT, et qui sont apparentés au Lazarus Group.

L'Operation Dream Job fait partie d'un ensemble de campagnes de Lazarus, tout comme « Operation In(ter)ception » et « Operation North Star ». Déduire que DEV#POPPER est la suivante sur la liste de Lazarus Group ou de ses soldats nord-coréens coulait donc de source.

Les hackers utilisent une fausse tâche de codage pour piéger les développeurs © Habichtland / Shutterstock
Les hackers utilisent une fausse tâche de codage pour piéger les développeurs © Habichtland / Shutterstock

L'appât du faux exercice de codage pour déployer DEV#POPPER

Dans la plupart des cas, les cybercriminels se servent de l'état de vulnérabilité d'un pays, d'un secteur ou de personnes comme levier d'action pour leurs pièges. Dans le cas de DEV#POPPER, ils utilisent la crise de l'emploi qui sévit partout dans le monde.

En clair, les hackers se font passer pour des employeurs qui cherchent à embaucher des développeurs de logiciels. Pendant l'entretien, ils demandent aux candidats de télécharger et d'exécuter une tâche de codage à partir d'un fichier soi-disant hébergé sur GitHub. Le fichier téléchargé, une archive ZIP, fonctionne comme les poupées russes. Dedans, on trouve un package NPM, qui comprend un README.md et des répertoires frontend et backend.

Lorsque le développeur met en marche le package NPM, un fichier JavaScript dissimulé (« imageDetails.js »), qui se trouve dans le répertoire backend, est déclenché. Il exécute les commandes « curl » grâce au processus Node.js pour récupérer une autre archive (« p.zi ») depuis un serveur distant. Cette nouvelle archive renferme la prochaine étape de la charge utile, un script Python camouflé (« npl ») qui agit comme un RAT.

Le malware RAT est multitâche : il peut rester connecté en permanence pour contrôler l'ordinateur, chercher et voler des fichiers spécifiques, exécuter des commandes à distance pour causer plus de dégâts ou installer d'autres logiciels malveillants. Il peut même voler des données directement à partir de dossiers importants et surveiller ce que l'utilisateur tape sur son clavier pour voler ses informations personnelles.

La branche professionnelle des développeurs de logiciels est très concurrentielle et met les chercheurs d'emploi en tension, ce qui les rend donc vulnérables. Selon les chercheurs du STR, l'arnaque au faux recrutement est très efficace, car elle exploite la confiance du développeur lorsqu'il postule à un emploi. Refuser de faire ce que demande le recruteur pourrait compromettre l'opportunité d'emploi. Redoutablement efficace.