Программисты-фрилансеры становятся целями хакеров

По данным TechRadar , эксперты по кибербезопасности из ESET обнаружили новую кампанию под названием DeceptiveDevelopment, проводимую хакерскими группами, предположительно из Северной Кореи. Эти группы будут выдавать себя за рекрутеров в социальных сетях, чтобы привлекать фрилансеров-программистов, особенно тех, кто работает над проектами, связанными с криптовалютой.

Основная цель этой кампании — кража криптовалюты. Хакеры копируют или создают поддельные профили рекрутеров и связываются с программистами через рекрутинговые платформы, такие как LinkedIn, Upwork или Freelancer.com. Они предлагают программистам пройти тест на знание программирования в качестве условия приема на работу.

Эти тесты обычно связаны с криптовалютными проектами, играми на основе блокчейна или платформами для азартных игр на криптовалюту. Тестовые файлы хранятся в закрытых репозиториях, таких как GitHub. Когда жертва загружает и запускает проект, запускается вредоносное ПО BeaverTail.

Хакеры обычно не вносят много изменений в исходный код исходного проекта, а вместо этого добавляют вредоносный код в труднодоступные места, например, в бэкенд или скрытые в комментариях. При запуске BeaverTail пытается извлечь данные из браузера, чтобы украсть учётные данные, а также загружает вторую вредоносную программу под названием InvisibleFerret, которая действует как бэкдор, позволяя злоумышленнику установить AnyDesk — инструмент удалённого управления, способный выполнять дополнительные операции после взлома.

Атака может затронуть пользователей операционных систем Windows, macOS и Linux. Эксперты отмечают, что жертвами стали люди по всему миру — от начинающих программистов до опытных профессионалов. Кампания DeceptiveDevelopment имеет сходство с Operation DreamJob — более ранней кампанией хакеров, направленной на сотрудников аэрокосмической и оборонной промышленности с целью кражи конфиденциальной информации.