프리랜서 프로그래머가 해커의 표적이 되다

TechRadar 에 따르면, ESET의 사이버 보안 전문가들은 북한으로 추정되는 해커 집단의 'DeceptiveDevelopment'라는 새로운 캠페인을 발견했습니다. 이 집단들은 소셜 미디어에서 채용 담당자로 위장하여 프리랜서 프로그래머, 특히 암호화폐 관련 프로젝트에 참여하는 사람들에게 접근합니다.

이 캠페인의 주요 목표는 암호화폐를 훔치는 것입니다. 해커들은 채용 담당자의 프로필을 복제하거나 가짜 프로필을 만들어 LinkedIn, Upwork, Freelancer.com과 같은 채용 플랫폼을 통해 프로그래머들에게 연락합니다. 그들은 채용 조건으로 프로그래머들에게 프로그래밍 기술 시험을 치르도록 요구합니다.

이러한 테스트는 일반적으로 암호화폐 프로젝트, 블록체인 기반 게임 또는 암호화폐 도박 플랫폼을 중심으로 진행됩니다. 테스트 파일은 GitHub과 같은 비공개 저장소에 저장됩니다. 피해자가 프로젝트를 다운로드하고 실행하면 BeaverTail이라는 악성코드가 실행됩니다.

해커는 일반적으로 원본 프로젝트의 소스 코드를 크게 변경하지 않고, 백엔드나 주석처럼 탐지하기 어려운 위치에 악성 코드를 추가합니다. BeaverTail이 실행되면 브라우저에서 데이터를 유출하여 로그인 정보를 훔치려 시도하고, InvisibleFerret이라는 두 번째 악성코드를 다운로드합니다. 이 악성코드는 백도어 역할을 하여 공격자가 침입 후 추가 작업을 수행할 수 있는 원격 관리 도구인 AnyDesk를 설치할 수 있도록 합니다.

이 공격 캠페인은 Windows, macOS, Linux 운영 체제 사용자에게 영향을 미칠 수 있습니다. 전문가들은 초보 프로그래머부터 숙련된 전문가까지 전 세계적으로 피해자가 발생했다고 보고했습니다. DeceptiveDevelopment 캠페인은 항공우주 및 방위 산업 종사자들을 표적으로 삼아 기밀 정보를 훔치려는 해커들의 이전 캠페인인 Operation DreamJob과 많은 유사점을 가지고 있습니다.