Внештатные программисты становятся мишенью хакеров

По данным TechRadar , эксперты по кибербезопасности из ESET обнаружили новую кампанию под названием DeceptiveDevelopment от хакерских групп, предположительно из Северной Кореи. Эти группы будут выдавать себя за рекрутеров в социальных сетях, чтобы связываться с программистами-фрилансерами, особенно с теми, кто работает над проектами, связанными с криптовалютой.

Основная цель этой кампании — украсть криптовалюту, хакеры будут копировать или создавать поддельные профили рекрутеров и связываться с программистами через платформы по подбору персонала, такие как LinkedIn, Upwork или Freelancer.com. Они будут предлагать программистам пройти тест на навыки программирования в качестве условия найма.

Эти тесты обычно вращаются вокруг криптовалютных проектов, игр на основе блокчейна или криптовалютных игровых платформ. Тестовые файлы хранятся в закрытых репозиториях, таких как GitHub. Когда жертва загружает и запускает проект, запускается вредоносная программа под названием BeaverTail.

Хакеры обычно не вносят много изменений в исходный код оригинального проекта, а вместо этого добавляют вредоносный код в труднообнаружимые места, например, в бэкэнд или скрытый в комментариях. При запуске BeaverTail пытается извлечь данные из браузера, чтобы украсть учетные данные для входа, а также загружает вторую вредоносную программу под названием InvisibleFerret, которая действует как бэкдор, позволяя злоумышленнику установить AnyDesk, инструмент удаленного управления, который может выполнять дополнительные операции после вторжения.

Атакующая кампания может затронуть пользователей операционных систем Windows, macOS и Linux. Эксперты отмечают жертв по всему миру, от начинающих программистов до опытных профессионалов. Кампания DeceptiveDevelopment имеет сходство с Operation DreamJob, более ранней кампанией хакеров, нацеленной на сотрудников аэрокосмической и оборонной промышленности с целью кражи конфиденциальной информации.