Кампания под кодовым названием “Dev Popper” использует маскировку под интервью для проникновения в системы разработчиков с целью установки троянской программы для удаленного доступа.

Процесс маскируется под собеседование, в ходе которого кандидатам предлагается выполнить задачи, якобы связанные с вакансией, включая загрузку и запуск кода из репозиториев на GitHub. Это создает видимость легитимности процесса. Однако конечная цель злоумышленников - заставить жертву загрузить вредоносное ПО, которое не только собирает информацию о системе, но и предоставляет хакерам удаленный доступ.
Атака “Dev Popper” характеризуется сложной многоступенчатой структурой, основанной на социальной инженерии и поэтапном компрометировании целей. Загружаемый файл представляет собой ZIP-архив с NPM-пакетом, содержащим файлы README.md и каталоги. После запуска активируется запутанный JavaScript-файл, скрытый в каталоге, который через Node.js запускает команды для загрузки дополнительного вредоносного архива.