4月底資安業者Securonix揭露北韓駭客發起的Dev#Popper攻擊行動，攻擊者假借徵才的名義，尋找開發人員下手，事隔3個月，他們發現這些駭客的手法變得更加刁鑽，攻擊的範圍橫跨多種作業系統。

而對於這些駭客啟動攻擊鏈的方式，研究人員指出，一旦麵試者取得對方提供的ZIP壓縮檔，下達npm install及npm start的命令部署NPM套件，埋藏其中的JavaScript程式碼就會執行，啟動感染鏈。雖然攻擊流程大致相同，但這次不光針對Windows電腦，也鎖定Linux及macOS作業系統，顯然影響範圍擴大。

駭客並未挑選特定的目標進行攻擊，但Securonix看到韓國、北美、歐洲、中東地區都有人受害，顯示這波行動影響的國家區域不少。

關於能夠攻擊開發人員電腦的ZIP檔案，內含的檔案總共有數十個，大部分都無害，僅JavaScript檔案裡的惡意程式碼具有攻擊意圖。研究人員特別提及，攻擊者在惡意程式碼前方加入大量空白而難以透過肉眼察覺，惡意軟體分析平臺VirusTotal的大部分防毒引擎也將其視為無害。

究竟攻擊者使用那些手法混淆惡意內容？研究人員提及，駭客利用Base64演算法處理字串，且直到執行的時候才進行解碼；再者，他們使用動態的功能函數及變數的名稱，並且將程式碼的文字字串拆解成更小的片段，然後在編譯的過程才重新拼湊。此外，這些駭客也運用了原型混淆手法，阻礙研究人員解讀程式碼的用途。

一旦上述的惡意程式碼啟動，就會先檢查受害電腦的作業系統類型，然後與C2進行通訊，並將受害電腦的系統資訊回，最終使用curl下載有效酬載，並透過Python指令碼解除混淆並執行。

此惡意酬載不僅會再度偵測完整的系統資訊，也會確認檢查受害電腦所在的地理位置，並具備遠端存取木馬（RAT）的功能，可讓攻擊者遠端執行命令、側錄鍵盤輸入內容、監控剪貼簿，透過FTP進行檔案傳輸，此外，攻擊者還能下載其他惡意程式，以便執行進一步的攻擊。

值得留意的是，駭客也為該惡意程式加入新的功能，例如，他們濫用遠端桌面連線工具AnyDesk，以便持續存取受害電腦。再者，他們透過FTP的延伸功能進行滲透。

若是上述攻擊成功，駭客先是針對Chrome的cookie下手，接著進行網路滲透，並下載另一個Python指令碼竊取電腦的敏感資料。