Kuzey Koreli hackerların hedefinde bu sefer iş arayan geliştiriciler var. Masum bir iş mülakatı gibi görünen süreç, bir anda dijital kabusa dönüşebiliyor. İşte detaylar…
Kuzey Koreli hackerlar yazılım dünyasının popüler kütüphanesi npm’i adeta mayın tarlasına çevirdi. Geçtiğimiz aydan bu yana sisteme tam 197 zararlı paket sızdırıldı. Socket’in güvenlik raporuna göre bu paketler 31 binden fazla kez indirildi. Rakamlar sadece istatistikten ibaret değil, her biri potansiyel kurban demek. Paketlerin kalbinde ‘OtterCookie’ adında sinsi bir yazılım (malware) yatıyor. Yeni versiyonuyla daha da güçlenen OtterCookie, bilgisayarın içine girdiğinde ilk önce pusuda bekliyor. Daha sonra güvenlik duvarlarını ve sanal makineleri atlatıp, kontrolü ele geçiriyor.
Bu gelişmiş malware ayrıca klavyede yazılan her harfi, panoya kopyalanan her metni kaydediyor. Ekran görüntüleri alıyor, tarayıcı şifrelerini ve kripto cüzdan bilgilerini topluyor.
Saldırı oldukça kurnazca. Hackerlar her şeyi ‘Contagious Interview’ ismindeki bir operasyonla yürütüyor. Yazılım geliştiricilere sahte iş teklifleri sunuluyor. Kurbanlardan teknik mülakat adı altında içinde zararlı kodlar barındıran uygulamaları çalıştırmaları isteniyor. Bunun sonucunda malware sisteme bulaşıyor. Zararlı yazılım önce Vercel üzerindeki sabit adrese bağlanıyor, ardından GitHub deposundan asıl zehirli yükü çekiyor.
Tuzaklar bu kadarla sınırlı değil. ‘ClickFake Interview’ adı verilen başka bir saldırı yöntemi daha var. Bu saldırıda da görünüşte adayların becerilerini ölçmeyi ve online mülakat yapmayı amaçlayan çakma değerlendirme siteleri devreye giriyor. Bu siteler üzerinden de “Kameranız veya mikrofonunuz çalışmıyor, düzeltmek için tıklayın” denilerek kullanıcılar tuzağa çekiliyor ve ‘GolangGhost’ isimli başka bir malware sisteme yükleniyor. Bu bela yazılımın da amacı kripto cüzdanı ve diğer değerli bilgileri çalmak.
