Cyber criminales están empleando nuevas tácticas y dirigiéndose persistentemente a los desarrolladores de software a través de la ingeniería social.

La campaña DEV#POPPER sigue evolucionando, con actores de amenazas norcoreanos que ahora despliegan malware dirigido a desarrolladores en plataformas Linux, Windows y macOS. El equipo de investigación de amenazas de Securonix ha identificado nuevas variantes de malware más robustas vinculadas a esta campaña, que sigue centrándose en tácticas de ingeniería social para comprometer a los profesionales del sector.

A pesar de no existir una tendencia específica en la victimología, el impacto de la campaña es generalizado, afectando a individuos en Corea del Sur, Norteamérica, Europa y Oriente Medio. Las técnicas avanzadas de los adversarios explotan las vulnerabilidades humanas, aprovechando la manipulación psicológica para engañar a las víctimas y hacer que comprometan información sensible o a sus organizaciones.

Los ciberdelincuentes están utilizando la confianza de ser entrevistadores para conseguir que los programadores descarguen un archivo zip (onlinestoreforhirog.zip). Dentro del archivo zip hay un paquete que se ejecuta con «npm install» y «npm start», tras ejecutarlo el ciberdelincuente tiene acceso al ordenador de la víctima.

El código JavaScript utilizado en la campaña DEV#POPPER está muy ofuscado y emplea múltiples técnicas para ocultar su verdadera funcionalidad. Estos métodos incluyen:

• Codificación Base64: Numerosas cadenas se codifican en Base64 y sólo se descodifican durante el tiempo de ejecución, lo que dificulta el análisis directo del código.
• Nombres dinámicos de funciones y variables: El código utiliza nombres aleatorios de variables y funciones, que se ocultan tras cadenas descodificadas. Esto oculta las funciones y módulos reales a los que se llama.
• Concatenación y cadenas divididas: Las cadenas de texto sin formato se dividen en pequeños segmentos que se unen durante la compilación, lo que complica aún más el análisis del código.
• Ofuscación de prototipos: Al modificar prototipos como Object.prototype.toString, el código dificulta los intentos de descubrir la verdadera intención de las cadenas.

Estas técnicas de ofuscación plantean importantes retos a los analistas que intentan comprender el comportamiento del malware, lo que pone de manifiesto la sofisticación de la campaña DEV#POPPER.

Una función prepara un objeto de datos de formulario que contiene información del sistema y otros datos recopilados, que luego se envía al servidor de mando y control (C2). Este proceso implica:

• Nombre de host
• Plataforma (nombre del sistema operativo)
• Marca de tiempo
• Hora actual: La marca de tiempo en la que se envían los datos ayuda al registro del servidor C2 y analiza la línea de tiempo de la información recopilada.
• Identificador del sistema: Un identificador único categoriza el tipo de datos que se envían, ayudando a procesar u organizar los datos en el servidor.
• Identificador de host: Otro identificador único rastrea de qué máquina proceden los datos, lo que permite al servidor asociar los datos con el host infectado específico.

Recomendamos que siempre seamos cautelosos con lo que ejecutamos en nuestros ordenadores. Debemos tener una cultura de ciberseguridad donde siempre estemos alerta ante cualquier irregularidad como en el caso de DEV#POPPER donde nos indicaron que ejecutáramos un código sin saber su precedencia. Es por esto que la concientización en ciberseguridad es muy importante no solo para el trabajo, sino también para nuestra vida diaria, aquí en Piscium fomentamos y capacitamos a las personas para reducir los riesgos de la ingeniería social.