Взломщики из Северной Кореи выдают себя за рекрутеров по разработке программного обеспечения, чтобы охотиться за фрилансерами

Северная Корея прячет вредоносное ПО в проектах на GitHub

Проекты затем отправляются разработчикам как тестирование навыков программирования. Вредоносное ПО BeaverTail используется для кражи учетных данных и криптовалюты. Фрилансеров по программированию стали новой целью хакеров из Северной Кореи, распространяющих вирусы-шпионы, предупреждают эксперты.

В рамках последней кампании, обозначенной ESET как DeceptiveDevelopment, злоумышленники выступают под видом рекрутеров на социальных сетях и целенаправленно атакуют фрилансеров, работающих над проектами с криптовалютой.

Основная цель этих атак — украсть криптовалюту, вероятно, для того чтобы пополнить доходы Северной Кореи. Для этого злоумышленники подделывают или создают личности рекрутеров и связываются с разработчиками через платформы по трудоустройству, такие как LinkedIn, Upwork и Freelancer.com.

Им предлагается работа в обмен на прохождение тестового задания. Тестовый проект обычно представляет собой либо испытание навыков, либо криптовалютный проект, или игру с использованием технологии блокчейн, а также может быть связан с игровыми платформами, использующими криптовалюту.

Файлы теста размещаются в приватных репозиториях на GitHub или подобных платформах. При загрузке и запуске проекта вредоносное ПО BeaverTail активируется. Хакеры часто полностью копируют проекты, не внося изменений, кроме добавления своего вируса и переписывания файла README.

Методом маскировки они прячут зловредный код так, чтобы он не привлекал внимания или был труднодоступен для обнаружения — например, внедряют его в бэкэнд-код как одну строчку за комментарием, который смещает её за экран.

Beavertail атакует базы данных браузеров для кражи учетных данных и загружает вторую стадию кампании — InvisibleFerret, которая действует как «черный ход» и позволяет установить программу AnyDesk для удаленного управления, что позволяет злоумышленникам продолжать атаку после первого проникновения.

Пользователи Windows, Mac и Linux одинаково уязвимы перед этой атакой. Жертвы обнаружены по всему миру. Хакеры не исключают из своей цели ни начинающих разработчиков, ни опытных специалистов.

Эта кампания имеет сходства с операцией DreamJob, которая направлена на кражу конфиденциальной информации у сотрудников аэрокосмической и оборонной промышленности.