Szabadúszó programozók válnak hackerek célpontjává

A TechRadar szerint az ESET kiberbiztonsági szakértői felfedeztek egy új, DeceptiveDevelopment nevű kampányt, amelyet feltehetően észak-koreai hackercsoportok indítottak. Ezek a csoportok közösségi hálózatokon toborzóknak adják ki magukat, hogy megkeressék a szabadúszó programozókat, különösen azokat, akik kriptovalutákkal kapcsolatos projekteken dolgoznak.

A kampány fő célja a kriptovaluták ellopása, a hackerek hamis munkaadók profiljait másolják vagy hozzák létre, és programozókkal veszik fel a kapcsolatot olyan toborzó platformokon keresztül, mint a LinkedIn, az Upwork vagy a Freelancer.com. A programozókat programozási készségtesztre kérik fel a felvétel feltételeként.

Ezek a tesztek jellemzően kriptovaluta projektek, blokklánc alapú játékok vagy kriptovaluta szerencsejáték platformok körül forognak. A tesztfájlok privát adattárakban, például a GitHub-on tárolódnak. Amikor az áldozat letölti és futtatja a projektet, aktiválódik a BeaverTail nevű rosszindulatú program.

A hackerek jellemzően nem végeznek sok változtatást az eredeti projekt forráskódján, hanem ehelyett nehezen észlelhető helyeken, például a háttérben vagy a megjegyzések elrejtése közben adnak hozzá rosszindulatú kódot. Futáskor a BeaverTail megpróbál adatokat kiszivárogni a böngészőből, hogy ellopja a bejelentkezési adatokat, és letölt egy második rosszindulatú programot is, az InvisibleFerret-et, amely hátsó ajtóként működik, lehetővé téve a támadó számára az AnyDesk telepítését, amely egy távoli felügyeleti eszköz, amely a behatolás után további műveleteket hajthat végre.

A támadási kampány Windows, macOS és Linux operációs rendszerek felhasználóit is érintheti. A szakértők világszerte regisztráltak áldozatokat, a kezdő programozóktól a tapasztalt szakemberekig. A DeceptiveDevelopment kampány sok hasonlóságot mutat az Operation DreamJob nevű korábbi hackerkampánnyal, amely a repülőgépipari és védelmi ipar alkalmazottait célozta meg bizalmas információk ellopása céljából.