Программисты-фрилансеры становятся мишенью для хакеров.

По данным TechRadar , эксперты по кибербезопасности из ESET обнаружили новую кампанию под названием DeceptiveDevelopment, проводимую хакерскими группами, предположительно из Северной Кореи. Эти группы выдают себя за рекрутеров в социальных сетях, чтобы нацелиться на программистов-фрилансеров, особенно тех, кто работает над проектами, связанными с криптовалютами.

Основная цель этой кампании — кража криптовалюты. Хакеры будут копировать или создавать поддельные профили работодателей и связываться с программистами через рекрутинговые платформы, такие как LinkedIn, Upwork или Freelancer.com. Затем они предложат программистам пройти тест на знание программирования в качестве условия приема на работу.

Эти тесты обычно связаны с криптовалютными проектами, играми, интегрированными с блокчейном, или платформами азартных игр на основе криптовалют. Тестовые файлы хранятся в закрытых репозиториях, таких как GitHub. Когда жертва загружает и запускает проект, активируется вредоносное ПО под названием BeaverTail.

Хакеры обычно не вносят существенных изменений в исходный код проекта, вместо этого добавляя вредоносный код в труднообнаружимые места, например, в код бэкэнда сервера или скрывая его в комментариях. При запуске BeaverTail пытается извлечь данные из браузера для кражи учетных данных и загружает второй вредоносный код под названием InvisibleFerret. Этот вредоносный код действует как бэкдор, позволяя злоумышленнику установить AnyDesk — инструмент удаленного управления, который позволяет выполнять дальнейшие операции после вторжения.

Эта кибератака может затронуть пользователей операционных систем Windows, macOS и Linux. Эксперты отмечают жертв по всему миру, от начинающих программистов до опытных профессионалов. Кампания DeceptiveDevelopment имеет много общего с Operation DreamJob, предыдущей хакерской кампанией, направленной на персонал аэрокосмической и оборонной отраслей с целью кражи конфиденциальной информации.