بدافزار در تست های کدنویسی توسعه دهندگان

هکرها همچنان توسعه‌دهندگان را هدف قرار می‌دهند و با استفاده از روش‌های پیچیده‌ای سعی می‌کنند سیستم‌های آنان را آلوده کنند. در یکی از این حملات، مهاجمان با تظاهر به یک مصاحبه شغلی از «کارمندان بالقوه» می‌خواهند اسکریپتی را از GitHub اجرا کنند که در نهایت یک درب پشتی مخفی را روی سیستم آنان نصب می‌کند.
از آنجا که توسعه‌دهندگان نرم‌افزار از کاربران پیشرفته رایانه به شمار می‌آیند، ممکن است انتظار داشته باشیم که بتوانند به راحتی حملات سایبری را شناسایی و از آن‌ها جلوگیری کنند. اما تجربه نشان داده که هیچ‌کس به‌طور کامل از مهندسی اجتماعی در امان نیست و هکرها می‌توانند حتی متخصصان فناوری اطلاعات را فریب دهند. برای جذب این متخصصان، هکرها معمولاً پیشنهاد شغلی با درآمد بالا در شرکتی معتبر ارائه می‌دهند. دنبال کردن یک شغل رویایی گاهی باعث می‌شود حتی توسعه‌دهندگان باتجربه نیز احتیاط خود را کنار بگذارند و مانند کودکی که بازی‌های دزدی دریایی را دانلود می‌کند، عمل کنند. هدف واقعی چنین حملاتی معمولاً کارفرمای فعلی این توسعه‌دهندگان است، نه خود آنان.
در سال‌های اخیر، یک روش جدید برای آلوده کردن رایانه‌های توسعه‌دهندگان شایع شده است که طی آن، هکرها با تظاهر به یک تست کدنویسی، یک اسکریپت درب پشتی را روی سیستم توسعه‌دهندگان نصب می‌کنند. این روش تکراری از یک تاکتیک شناخته شده است و هکرها از مدت‌ها پیش با استفاده از پیشنهادهای شغلی جعلی متخصصان فناوری اطلاعات را هدف قرار داده‌اند.
ممکن است تصور کنید که این نوع حملات فقط مشکلاتی برای خود قربانی ایجاد می‌کند، اما در دنیای امروزی، توسعه‌دهندگان اغلب از یک کامپیوتر برای هر دو کار اصلی و تست کدنویسی شغل جدید استفاده می‌کنند. بنابراین، نه تنها داده‌های شخصی، بلکه اطلاعات حساس شرکتی نیز ممکن است در معرض خطر قرار گیرد.

آگهی شغلی جعلی و سرقت ۵۴۰ میلیون دلاری ارز دیجیتال

یکی از شناخته‌شده‌ترین حملات آگهی شغلی جعلی در سال ۲۰۲۲ اتفاق افتاد. هکرها موفق شدند از طریق لینکدین با یک مهندس ارشد در شرکت Sky Mavis، سازنده بازی کریپتو Axie Infinity، تماس برقرار کنند و به او یک پیشنهاد شغلی جذاب و با درآمد بالا ارائه دهند.
این کارمند که به این پیشنهاد جذب شده بود، مراحل مختلفی از مصاحبه را پشت سر گذاشت که همگی توسط هکرها تنظیم شده بودند. در نهایت، وی یک «پیشنهاد شغلی» را در قالب یک فایل PDF دریافت کرد.
این سند آلوده بود و هنگامی که کارمند Sky Mavis آن را دانلود و باز کرد، نرم‌افزارهای جاسوسی به شبکه شرکت نفوذ کردند. هکرها پس از اسکن زیرساخت‌های شرکت، موفق به به‌دست‌آوردن کلیدهای خصوصی پنج اعتباردهنده در بلاک‌چین داخلی Axie Infinity به نام Ronin شدند. با استفاده از این کلیدها، آنان کنترل کاملی بر دارایی‌های کریپتو ذخیره شده در کیف پول‌های شرکت به‌دست آوردند.
این حمله به یکی از بزرگترین سرقت‌های رمزارز تبدیل شد. هکرها توانستند ۱۷۳,۶۰۰ اتر (ETH) و ۲۵,۵۰۰,۰۰۰ USDC را که در آن زمان حدود ۵۴۰ میلیون دلار ارزش داشت، سرقت کنند.

آگهی‌های شغلی جعلی بیشتر، بدافزار بیشتر

در سال ۲۰۲۳، چندین کمپین گسترده دیگر نیز کشف شد که در آن از پیشنهادات شغلی جعلی برای آلوده کردن توسعه‌دهندگان، کارکنان رسانه‌ها و حتی متخصصان امنیت سایبری (!) استفاده شد.
یکی از سناریوهای این حملات به این صورت است که فردی به عنوان یک استخدام‌کننده از یک شرکت فناوری بزرگ، از طریق لینکدین با قربانی تماس می‌گیرد. پس از مدتی گفتگو، قربانی یک «فرصت شغلی هیجان‌انگیز» دریافت می‌کند.
با این حال، برای رسیدن به این شغل، قربانی باید مهارت‌های کدنویسی خود را با انجام یک آزمون نشان دهد. این آزمون در قالب فایل‌های اجرایی در فایل‌های ISO ارسال می‌شود که از طریق لینک داده‌شده قابل دانلود است. با اجرای این فایل‌های اجرایی، رایانه قربانی به بدافزار NickelLoader آلوده می‌شود که سپس یکی از دو درب پشتی به نام‌های miniBlindingCan یا LightlessCan را نصب می‌کند.
در سناریوی دیگر، مهاجمان که خود را استخدام‌کننده معرفی می‌کنند، ابتدا از طریق لینکدین با قربانی ارتباط برقرار می‌کنند و سپس مکالمه را به آرامی به واتس‌اپ منتقل می‌کنند. در نهایت، یک فایل مایکروسافت ورد همراه با شرح شغلی ارسال می‌شود. همانطور که ممکن است حدس بزنید، این فایل حاوی یک ماکرو مخرب است که درب پشتی PlankWalk را روی رایانه قربانی نصب می‌کند.
در یک حمله دیگر که کاربران لینوکس را هدف قرار می‌دهد، مهاجمان از یک آرشیو مخرب با نام “HSBC job offer.pdf.zip” استفاده می‌کنند. داخل این آرشیو یک فایل اجرایی وجود دارد که به‌عنوان یک سند PDF ظاهر می‌شود. جالب اینجاست که در این مورد، مهاجمان از یک نماد عجیب استفاده کرده‌اند تا پسوند واقعی فایل را پنهان کنند: به اصطلاح «نقطه راهنما» (U+2024) که به چشم انسان مانند یک نقطه عادی به‌نظر می‌رسد اما توسط رایانه به‌عنوان یک کاراکتر کاملاً متفاوت خوانده می‌شود.
هنگامی که این فایل اجرایی باز می‌شود، یک فایل PDF جعلی حاوی شرح وظایف نمایش داده می‌شود، در حالی که بدافزار OdicLoader در پس‌زمینه اجرا شده و درب پشتی SimplexTea را روی سیستم قربانی نصب می‌کند.

تست کدنویسی جعلی با یک تروجان در GitHub

نوعی دیگر از حملات جعلی که اخیراً شناسایی شده، به همین شکل آغاز می‌شود. مهاجمان با یکی از کارمندان شرکت هدف تماس می‌گیرند و خود را به عنوان استخدام‌کننده معرفی می‌کنند که به دنبال توسعه‌دهنده هستند.
در طول مصاحبه، از قربانی خواسته می‌شود یک تست کدنویسی را انجام دهد. اما برخلاف موارد قبلی، مهاجمان این بار به جای ارسال فایل مستقیم، قربانی را به مخزن GitHub هدایت می‌کنند که فایل در آنجا ذخیره شده است. این فایل به صورت یک آرشیو ZIP شامل پروژه‌ای به ظاهر بی‌ضرر به زبان Node.js است.
اما یکی از مؤلفه‌های این پروژه شامل یک رشته کد طولانی و غیرمعمول است که به گونه‌ای خاص فرمت‌بندی شده تا هنگام مرور سریع نادیده گرفته شود. این رشته، کدی مخفی را در خود پنهان کرده است که مرحله اول حمله را تشکیل می‌دهد.
هنگامی که قربانی پروژه مخرب را اجرا می‌کند، این کد، مرحله بعدی حمله را دانلود و اجرا می‌کند. مرحله بعدی شامل یک فایل پایتون بدون پسوند است که با نقطه‌ای در ابتدای نام فایل پنهان شده است، و به سیستم‌عامل این سیگنال را می‌دهد که فایل مخفی است. این اسکریپت، مرحله نهایی حمله را آغاز کرده و درب پشتی را روی سیستم نصب می‌کند.
در نتیجه، رایانه قربانی به بدافزاری آلوده می‌شود که می‌تواند با سرور فرمان و کنترل ارتباط مداوم برقرار کند، دستورات را برای یافتن و سرقت اطلاعات حساس اجرا کند، بدافزارهای بیشتری دانلود کند، داده‌های کلیپ‌بورد را بدزدد، ضربه‌های کلیدی را ثبت کند و داده‌های جمع‌آوری‌شده را برای مهاجمان ارسال کند.
همانند سایر حملات مشابه، هکرها روی این حساب می‌کنند که قربانی از رایانه کاری خود برای انجام مصاحبه و اجرای تست کدنویسی استفاده کند. این دسترسی به هکرها اجازه می‌دهد تا به زیرساخت‌های شرکت مورد نظر دسترسی پیدا کنند و سپس به اهداف خود بپردازند؛ از تغییر کد توسعه یافته توسط شرکت تا سرقت مستقیم وجوه سازمان، همان‌طور که در ماجرای Sky Mavis در ابتدای این مقاله توضیح داده شد.

چگونه از خود محافظت کنیم

همان‌طور که اشاره شد، هنوز هیچ راهکار ضدگلوله‌ای برای مقابله با مهندسی اجتماعی وجود ندارد؛ زیرا اگر مهاجمان روش مناسبی بیابند، تقریباً هر کسی می‌تواند آسیب‌پذیر باشد. اما با اقداماتی می‌توان کار را برای مهاجمان بسیار دشوارتر کرد:
• آگاهی کارکنان، از جمله توسعه‌دهندگان، در مورد تهدیدات سایبری را از طریق آموزش‌های تخصصی افزایش دهید. می‌توانید از پلتفرم‌های آموزشی خودکار مانند «پلتفرم آگاهی امنیتی خودکار Kaspersky» برای برگزاری این آموزش‌ها استفاده کنید.
• استفاده از یک راه‌حل امنیتی مطمئن روی تمام دستگاه‌های شرکتی می‌تواند در کاهش آسیب‌پذیری‌ها موثر باشد.
افزایش آگاهی عمومی درباره حملات سایبری و اهمیت امنیت اطلاعات، به‌ویژه در میان متخصصان حوزه فناوری اطلاعات، امری ضروری است. هرچند که فناوری‌های امنیتی روزبه‌روز پیشرفت می‌کنند، اما همچنان عامل انسانی و بی‌توجهی به جزئیات نقش اساسی در موفقیت این حملات دارد. شرکت‌ها باید به‌طور مداوم اقدامات پیشگیرانه‌ای برای آموزش و توجیه کارکنان خود انجام دهند و آنها را از جدیدترین روش‌های هکرها آگاه سازند. این آموزش‌ها می‌تواند شامل شبیه‌سازی حملات، دوره‌های آموزشی آنلاین، و جلسات ماهانه امنیتی باشد که به افراد کمک می‌کند در برابر تهدیدات سایبری هوشیارتر عمل کنند.

ترجمه:
پیشگامان تجارت امن ایرانیان