ពួក Hacker កូរ៉េខាងជើងប្រើប្រាស់យុទ្ធសាស្ត្ររំលោភបំពានលេខកូដសម្រាប់យុទ្ធនាការ 'សម្ភាសន៍ឆ្លង'

ជន​គំរាមកំហែង​កូរ៉េខាងជើង​បាន​បើក​យុទ្ធនាការ​វិស្វកម្ម​សង្គម​ដ៏​ទំនើប​មួយ​ដែល​កំណត់​គោលដៅ​អ្នក​អភិវឌ្ឍន៍​កម្មវិធី​តាមរយៈ​ការផ្តល់ជូន​ជ្រើសរើស​បុគ្គលិក​ក្លែងក្លាយ។

យុទ្ធនាការ​នេះ ដែល​គេ​ស្គាល់​ថា Contagious Interview ប្រើប្រាស់​ឃ្លាំង​ផ្ទុក​មេរោគ​ដែល​ក្លែងបន្លំ​ជា​គម្រោង​វាយតម្លៃ​បច្ចេកទេស​ដើម្បី​ដាក់ពង្រាយ​ប្រព័ន្ធ​មេរោគ​ពីរ​ស្រទាប់។

ជនរងគ្រោះ​ត្រូវ​បាន​ទាក់ទាញ​តាមរយៈ​សារ LinkedIn ពី​អ្នក​ជ្រើសរើស​បុគ្គលិក​ក្លែងក្លាយ​ដែល​អះអាង​ថា​តំណាង​ឱ្យ​អង្គការ​ដូចជា Meta2140 បន្ទាប់មក​ត្រូវ​បាន​ដឹកនាំ​ឱ្យ​ទាញយក​ឃ្លាំង​ផ្ទុក​ដែល​មាន​កូដ​មេរោគ​លាក់។

ការវាយប្រហារនេះដំណើរការតាមរយៈដំណើរការឆ្លងមេរោគពីរដំណាក់កាលដែលបង្កើតឡើងយ៉ាងប្រុងប្រយ័ត្ន ដែលត្រូវបានរចនាឡើងដើម្បីលួចយកព័ត៌មានសម្ងាត់ កាបូបលុយឌីជីថល និងបង្កើតការចូលប្រើពីចម្ងាយជាប់លាប់លើប្រព័ន្ធជនរងគ្រោះ។

មេរោគនេះប្រើប្រាស់វ៉ិចទ័រឆ្លងមេរោគច្រើន ដែលគ្រោះថ្នាក់បំផុតគឺការកំណត់រចនាសម្ព័ន្ធភារកិច្ច VS Code ដែលលាក់។

នៅពេលដែលអ្នកអភិវឌ្ឍន៍បើកថតឯកសារគម្រោងដើម្បីពិនិត្យមើលកូដ ឬបើកការត្រួតពិនិត្យដែលមានជំនួយពី AI ភារកិច្ចដែលលាក់នឹងប្រតិបត្តិដោយស្វ័យប្រវត្តិដោយមិនតម្រូវឱ្យមានការប្រតិបត្តិកូដដោយផ្ទាល់។

វ៉ិចទ័រទីពីរប្រើទំពក់តក្កវិជ្ជាកម្មវិធីដែលបានបង្កប់នៅក្នុងកូដម៉ាស៊ីនមេ ដែលមុខងារដែលមើលទៅស្របច្បាប់បង្កឱ្យមានការទាញយក និងការប្រតិបត្តិបន្ទុក។

ប្រសិនបើទាំងពីរបរាជ័យ ការវាយប្រហារនឹងព្យាយាមដំឡើងការពឹងផ្អែក npm ព្យាបាទ។ វិធីសាស្រ្តទាំងនេះធានានូវការឆ្លងមេរោគដោយជោគជ័យ ទោះបីជាជនរងគ្រោះអនុវត្តការប្រុងប្រយ័ត្នដោយជៀសវាងការប្រតិបត្តិកូដដោយផ្ទាល់ក៏ដោយ។

អ្នកស្រាវជ្រាវសន្តិសុខនៅ SEAL Intel បានកំណត់អត្តសញ្ញាណ និងវិភាគយុទ្ធនាការនេះ បន្ទាប់ពីជនរងគ្រោះបីនាក់ដាច់ដោយឡែកពីគ្នាបានស្វែងរកជំនួយក្នុងរយៈពេលមួយខែ។

ជនរងគ្រោះទាំងអស់បានជួបប្រទះនឹងគំរូវាយប្រហារដូចគ្នា ហើយបានរាយការណ៍ពីការខាតបង់ផ្នែកហិរញ្ញវត្ថុយ៉ាងច្រើន។

តាមរយៈការពិនិត្យមើលប្រវត្តិនៃការប្រព្រឹត្ត និងទិន្នន័យមេតា អ្នកស្រាវជ្រាវបានរកឃើញថា មេរោគនេះមានប្រភពមកពីបុគ្គលិក IT កូរ៉េខាងជើងដែលគេស្គាល់ ដែលធ្លាប់បានដំណើរការគម្រោងក្លែងបន្លំដូចជា Ultra-X។

ត្រាពេលវេលានៃការប្រព្រឹត្តបានបង្ហាញការកំណត់តំបន់ពេលវេលាស្តង់ដារកូរ៉េជាប់លាប់ ដែលបញ្ជាក់បន្ថែមទៀតអំពីការបញ្ជាក់។

យន្តការឆ្លងមេរោគ

យន្តការឆ្លងមេរោគដំណើរការក្នុងដំណាក់កាលផ្សេងៗគ្នា។ នៅពេលដែលត្រូវបានបង្កឡើង មេរោគនឹងទាញយកឧបករណ៍បញ្ជា Node.js ដែលប្រតិបត្តិទាំងស្រុងនៅក្នុងអង្គចងចាំប្រព័ន្ធ។

ឧបករណ៍បញ្ជានេះដាក់ពង្រាយម៉ូឌុលឯកទេសចំនួនប្រាំដើម្បីលួចទិន្នន័យរសើប។ ម៉ូឌុល keylogger និង screenshot ត្រួតពិនិត្យសកម្មភាពអ្នកប្រើប្រាស់ និងផ្ទុកឡើងលទ្ធផលទៅកាន់ម៉ាស៊ីនមេបញ្ជារបស់អ្នកវាយប្រហារនៅ 172.86.116.178។

កម្មវិធីចាប់យកឯកសារស្កេនថតឯកសារផ្ទះសម្រាប់ឯកសារកំណត់រចនាសម្ព័ន្ធ អាថ៌កំបាំង និងសោ SSH។ ម៉ូនីទ័រក្ដារតម្បៀតខ្ទាស់មើលអាសយដ្ឋានរូបិយប័ណ្ណគ្រីបតូ ខណៈពេលដែលកម្មវិធីលួចកម្មវិធីរុករកផ្តោតលើមូលដ្ឋានទិន្នន័យ Chrome, Brave និង Opera ដែលមានព័ត៌មានសម្ងាត់ចូល និងព័ត៌មានកាបូប។

ជាចុងក្រោយ ឧបករណ៍ចូលប្រើពីចម្ងាយភ្ជាប់ទៅមជ្ឈមណ្ឌលបញ្ជារបស់អ្នកវាយប្រហារដោយប្រើ socket.io ដែលអនុញ្ញាតឱ្យមានការប្រតិបត្តិពាក្យបញ្ជាសែលតាមអំពើចិត្ត។

បន្ទាប់ពីដំណាក់កាល Node.js មេរោគដាក់ពង្រាយ payloads Python ដែលបង្កើតភាពស្ថិតស្ថេរខ្លាំងជាង។ នៅលើប្រព័ន្ធ Windows ជាពិសេស មេរោគបង្កើតការចាក់ថតចាប់ផ្តើម និងភារកិច្ចដែលបានកំណត់ពេលធ្វើត្រាប់តាមដំណើរការ Windows ស្របច្បាប់ដូចជា RuntimeBroker.exe។

ម៉ូឌុល miner ទាញយកកម្មវិធីជីកយករ៉ែរូបិយប័ណ្ណគ្រីបតូ XMRig។ ពេញមួយការប្រតិបត្តិ មេរោគបង្កើតថតដែលលាក់នៅក្នុង .npm និងថតប្រព័ន្ធដើម្បីរៀបចំទិន្នន័យដែលត្រូវបានគេលួច និងរក្សាជើងទម្រឆ្លងមេរោគនៅទូទាំងការចាប់ផ្តើមឡើងវិញ។

អ្នកអភិវឌ្ឍន៍គួរតែបិទការប្រតិបត្តិភារកិច្ច VS Code ដោយស្វ័យប្រវត្តិភ្លាមៗ ហើយបើកការផ្ទៀងផ្ទាត់ទំនុកចិត្តលើកន្លែងធ្វើការ។

ប្រព័ន្ធដែលបង្ហាញសញ្ញានៃការឆ្លងមេរោគ រួមទាំងថតឯកសារ .n2, .n3 ឬ .npm ដែលលាក់ តម្រូវឱ្យមានការបង្វិលអត្តសញ្ញាណពេញលេញ និងការផ្លាស់ប្តូរកាបូបរូបិយប័ណ្ណគ្រីបតូទៅកាន់អាសយដ្ឋានថ្មីពីឧបករណ៍ស្អាត។

ប្រព័ន្ធ Windows ដែលទទួលរងនូវការឆ្លងមេរោគ ទាមទារឱ្យដំឡើងប្រព័ន្ធប្រតិបត្តិការឡើងវិញទាំងស្រុង ដោយសារតែយន្តការរក្សាកម្រិតចុះបញ្ជី។