Biztonsági kutatók egy olyan rosszindulatú kampányt azonosítottak, amely hamis állásajánlatok felhasználásával fertőzi meg a fejlesztői környezeteket. A művelet célzottan JavaScript és Python fejlesztőkre fókuszál, és fertőzött csomagok terjesztésével próbál hozzáférést szerezni fejlesztői rendszerekhez.
A művelet egy látszólag legitim állásinterjúval kezdődik. A támadók közösségi platformokon keresztül veszik fel a kapcsolatot a célpontokkal, majd technikai feladatokat adnak ki, amelyek első ránézésre ártalmatlan fejlesztői projekteknek tűnnek. A valós fertőzési pontot nem maga a feladatkód, hanem a projekt futásához szükséges külső komponensek jelentik, amelyek népszerű nyílt forráskódú csomagtárolókból kerülnek letöltésre. A kutatók megfigyelték, hogy egyes csomagok több ezer letöltést értek el, mielőtt a támadók késleltetett frissítés formájában rosszindulatú kódot juttattak volna el.
A támadók először egy teljesen fiktív, blokklánc technológiával foglalkozó vállalatot hoznak létre, amely professzionális webes jelenléttel, Git alapú fejlesztői infrastruktúrával és mesterséges intelligenciával generált marketinganyagokkal rendelkezik. Amennyiben egy ilyen fedőcég hitelessége sérül, gyorsan új márkát, domaint és online identitást építenek fel ugyanazzal a háttérinfrastruktúrával. A támadók olyan csomagokat publikálnak, amelyek neve és funkcionalitása hasonlít a legitim könyvtárakéra. A kezdeti verziók gyakran még ártalmatlanok, így bizalmat építenek a fejlesztői közösségben, majd későbbi frissítések során kerül bele a tényleges kártevő komponens. Ez a taktika különösen hatékony, mert a legtöbb fejlesztési környezet automatikusan frissíti a beépített külső csomagokat. A kompromittált rendszerek végül egy távoli hozzáférést biztosító kártevőt töltenek le, amely képes fájlműveletek végrehajtására, parancsok futtatására és folyamatok vezérlésére. A kommunikáció titkosított csatornán zajlik, token alapú hitelesítéssel, ami megnehezíti a hálózati detektálást. A kártevő emellett aktívan keresi a kriptovaluta pénztárcák jelenlétét is.
A kampány attribúciója több ismétlődő technikai és operatív mintázaton alapul. Ide tartozik a hamis állásinterjúk alkalmazása elsődleges fertőzési vektorként, a kriptovaluta témájú fedősztorik használata, a többlépcsős, erősen titkosított malware architektúra, a késleltetett rosszindulatú frissítések, valamint az időbélyegek és infrastruktúrahasználati minták konzisztenciája. A művelet modularitása lehetővé teszi, hogy a támadók gyorsan cseréljék a látható, publikus elemeket, miközben a háttérrendszerek változatlanok maradnak.
A kutatási eredmények alapján a művelet rendkívül magas szintű szervezettséget és türelmet mutat. A támadók hosszú időn keresztül építik a bizalmat különböző platformokon, miközben technikailag összetett, több rétegben titkosított kártevőket alkalmaznak. A jelenlegi aktivitási minták arra utalnak, hogy a kampány továbbra is aktív, új csomagverziók és payload változatok folyamatos megjelenésével.