Frilansprogrammerere blir mål for hackere.

Hovedmålet med denne kampanjen er å stjele kryptovaluta. Hackere vil kopiere eller lage falske profiler av arbeidsgivere og kontakte programmerere gjennom rekrutteringsplattformer som LinkedIn, Upwork eller Freelancer.com. Deretter vil de invitere programmerere til å ta en programmeringsferdighetstest som en betingelse for å bli ansatt.

Disse testene dreier seg vanligvis om kryptovalutaprosjekter, blokkjedeintegrerte spill eller kryptovalutabaserte gamblingplattformer. Testfilene lagres på private databaser som GitHub. Når offeret laster ned og kjører prosjektet, aktiveres skadelig programvare kalt BeaverTail.

Hackere gjør vanligvis ikke omfattende endringer i den opprinnelige prosjektets kildekode, men legger i stedet til skadelig kode på steder som er vanskelige å oppdage, for eksempel i serverens backend-kode eller skjult i kommentarer. Når den kjøres, prøver BeaverTail å trekke ut data fra nettleseren for å stjele påloggingsinformasjon og laster ned en annen skadelig programvare kalt InvisibleFerret. Denne skadelige programvaren fungerer som en bakdør, slik at angriperen kan installere AnyDesk – et verktøy for ekstern administrasjon som muliggjør videre operasjoner etter inntrengingen.

Denne angrepskampanjen kan påvirke brukere på operativsystemene Windows, macOS og Linux. Eksperter har registrert ofre globalt, alt fra nybegynnere i programmering til erfarne fagfolk. DeceptiveDevelopment-kampanjen har mange likheter med Operation DreamJob, en tidligere hackerkampanje som rettet seg mot personell innen luftfart og forsvar for å stjele konfidensiell informasjon.