Программисты-фрилансеры становятся целями хакеров

По данным TechRadar , эксперты по кибербезопасности из ESET обнаружили новую кампанию под названием DeceptiveDevelopment, проводимую хакерскими группами, предположительно из Северной Кореи. Эти группы выдают себя за рекрутеров в социальных сетях, чтобы привлекать фрилансеров-программистов, особенно тех, кто работает над проектами, связанными с криптовалютами.

Основная цель этой кампании — кража криптовалюты. Хакеры копируют или создают поддельные профили работодателей и связываются с программистами через рекрутинговые платформы, такие как LinkedIn, Upwork или Freelancer.com. Они предлагают программистам пройти тест на знание программирования как условие приёма на работу.

Эти тесты обычно связаны с криптовалютными проектами, играми на основе блокчейна или платформами для азартных игр на криптовалюту. Тестовые файлы хранятся в закрытых репозиториях, таких как GitHub. Когда жертва загружает и запускает проект, активируется вредоносное ПО BeaverTail.

Хакеры обычно не вносят много изменений в исходный код исходного проекта, а вместо этого добавляют вредоносный код в труднодоступные места, например, в бэкенд или скрытые в комментариях. При запуске BeaverTail пытается извлечь данные из браузера, чтобы украсть учётные данные, а также загружает вторую вредоносную программу под названием InvisibleFerret, которая действует как бэкдор, позволяя злоумышленнику установить AnyDesk — инструмент удалённого управления, способный выполнять дополнительные операции после взлома.

Атака может затронуть пользователей операционных систем Windows, macOS и Linux. Эксперты зафиксировали жертв по всему миру, среди которых были как начинающие программисты, так и опытные специалисты. Кампания DeceptiveDevelopment во многом похожа на операцию DreamJob, более раннюю кампанию хакеров, направленную на сотрудников аэрокосмической и оборонной промышленности с целью кражи конфиденциальной информации.