4月底资安业者Securonix揭露北韩黑客发起的Dev#Popper攻击行动，攻击者假借征才的名义，寻找开发人员下手，事隔3个月，他们发现这些黑客的手法变得更加刁钻，攻击的范围横跨多种操作系统。

而对于这些黑客启动攻击链的方式，研究人员指出，一旦面试者取得对方提供的ZIP压缩档，下达npm install及npm start的命令部署NPM套件，埋藏其中的JavaScript代码就会运行，启动感染链。虽然攻击流程大致相同，但这次不光针对Windows电脑，也锁定Linux及macOS操作系统，显然影响范围扩大。

黑客并未挑选特定的目标进行攻击，但Securonix看到韩国、北美、欧洲、中东地区都有人受害，显示这波行动影响的国家区域不少。

关于能够攻击开发人员电脑的ZIP文件，内含的文件总共有数十个，大部分都无害，仅JavaScript文件里的恶意代码具有攻击意图。研究人员特别提及，攻击者在恶意代码前方加入大量空白而难以通过肉眼察觉，恶意软件分析平台VirusTotal的大部分杀毒引擎也将其视为无害。

究竟攻击者使用那些手法混淆恶意内容？研究人员提及，黑客利用Base64算法处理字符串，且直到运行的时候才进行解码；再者，他们使用动态的功能函数及变量的名称，并且将代码的文本字符串拆解成更小的片段，然后在编译的过程才重新拼凑。此外，这些黑客也运用了原型混淆手法，阻碍研究人员解读代码的用途。

一旦上述的恶意代码启动，就会先检查受害电脑的操作系统类型，然后与C2进行通信，并将受害电脑的系统信息回，最终使用curl下载有效酬载，并通过Python脚本解除混淆并运行。

此恶意酬载不仅会再度侦测完整的系统信息，也会确认检查受害电脑所在的地理位置，并具备远程存取木马（RAT）的功能，可让攻击者远程运行命令、侧录键盘输入内容、监控剪贴板，通过FTP进行文件传输，此外，攻击者还能下载其他恶意程序，以便运行进一步的攻击。

值得留意的是，黑客也为该恶意程序加入新的功能，例如，他们滥用远程桌面连接工具AnyDesk，以便持续存取受害电脑。再者，他们通过FTP的延伸功能进行渗透。

若是上述攻击成功，黑客先是针对Chrome的cookie下手，接着进行网络渗透，并下载另一个Python脚本窃取电脑的敏感数据。