Frilansprogrammerere blir mål for hackere

Ifølge TechRadar har cybersikkerhetseksperter fra ESET oppdaget en ny kampanje kalt DeceptiveDevelopment fra hackergrupper som antas å være fra Nord-Korea. Disse gruppene utgir seg for å være rekrutterere på sosiale nettverk for å kontakte frilansprogrammerere, spesielt de som jobber med prosjekter relatert til kryptovalutaer.

Hovedmålet med denne kampanjen er å stjele kryptovaluta. Hackere vil kopiere eller lage falske profiler av arbeidsgivere og kontakte programmerere gjennom rekrutteringsplattformer som LinkedIn, Upwork eller Freelancer.com. De vil invitere programmerere til å ta en programmeringsferdighetstest som en betingelse for å bli ansatt.

Disse testene dreier seg vanligvis om kryptovalutaprosjekter, blokkjedebaserte spill eller kryptovaluta-gamblingplattformer. Testfilene lagres på private databaser som GitHub. Når offeret laster ned og kjører prosjektet, aktiveres en skadelig programvare kalt BeaverTail.

Hackere gjør vanligvis ikke mange endringer i den opprinnelige prosjektets kildekode, men legger i stedet til skadelig kode på steder som er vanskelige å oppdage, for eksempel i backend eller skjult i kommentarer. Når den kjøres, prøver BeaverTail å tømme data fra nettleseren for å stjele påloggingsinformasjon, og laster også ned en annen skadelig programvare kalt InvisibleFerret, som fungerer som en bakdør, slik at angriperen kan installere AnyDesk, et verktøy for ekstern administrasjon som kan utføre ytterligere operasjoner etter inntrengingen.

Angrepskampanjen kan påvirke brukere på Windows-, macOS- og Linux-operativsystemer. Eksperter har registrert ofre over hele verden, alt fra nybegynnere i programmering til erfarne fagfolk. DeceptiveDevelopment-kampanjen har mange likheter med Operation DreamJob, en tidligere kampanje av hackere som rettet seg mot ansatte i luftfarts- og forsvarsindustrien for å stjele konfidensiell informasjon.