找工作的面試官竟是駭客？新手法「Dev Popper」假面試真木馬鎖定工程師

近期网路上出现一项新骇客诈骗手法「Dev Popper」，伪装面试专门锁定工程师、开发者族群。（示意图／Ingimage）

近期网路上出现一项新诈骗手法「Dev Popper」，专门锁定工程师、开发者族群，不肖人士假装要面试软体开发人员，要求面试者从GitHub下载并运行程式码，利用看似合法的面试流程，诱骗受害者安装Python远端存取木马（RAT）。

「Dev Popper」攻击者会冒充成要寻找软体开发人员的雇主，进到面试过程后，面试者会被要求从GitHub下载并执行标准编写程式码的任务。在下载的ZIP档案中包含NPM套件，内含README.md以及前端和后端directory。

当面试者开始运行NPM套件，隐藏在后端directory的JavaScript档案（“imageDetails.js”）就会被开启，透过Node.js进程下载来自外部伺服器的档案（“p.zi”），其内部即是一个作为RAT的Python脚本（“npl”）。

RAT会收集受害者的基本系统资讯，包括作业系统类型、主机名称和网路资料，并传送到C2伺服器。根据分析师，RAT支援的功能还包括：可搜寻、窃取特定档案的档案系统命令、用来部属其他恶意软体的远端命令，透过剪贴簿和按键记录来监视受害者活动等。

Dev Popper的攻击者目前身份不明，但由于北韩骇客已多次透过假工作机会，来联系和攻击安全研究人员、媒体组织、软体开发人员（尤其是DeFi平台），分析师认为这次的攻击也可能由北韩策画，但尚无法证实此推测。

该攻击相关细节首次出现在2023年底，骇客冒充雇透过面试过程引诱软体开发人员安装BeaverTail和InvisibleFerret等恶意软体。到了今年 2月初，资安公司Phylum在npm registy中发现了一组恶意软体，从受害者系统中窃取敏感资讯。

以工作面试邀约做为诱饵的攻击仍普遍存在，其利用开发人员对面试过程的参与和信任，以及面试者不敢拒绝面试官要求的担忧，让此类攻击变得有效，专家也提醒要对这种既有风险保持警惕。

《本文作者Jocelyn，原文刊登于合作媒体INSIDE，联合新闻网获授权转载。》