Frilansprogrammerare blir alltmer måltavlor för hackare.

Enligt TechRadar har cybersäkerhetsexperter från ESET upptäckt en ny kampanj som heter DeceptiveDevelopment från hackergrupper som tros komma från Nordkorea. Dessa grupper utger sig för att vara rekryterare på sociala medier för att rikta in sig på frilansprogrammerare, särskilt de som arbetar med kryptovalutarelaterade projekt.

Det primära målet med denna kampanj är att stjäla kryptovaluta. Hackare kommer att kopiera eller skapa falska profiler av arbetsgivare och kontakta programmerare via rekryteringsplattformar som LinkedIn, Upwork eller Freelancer.com. De kommer sedan att bjuda in programmerare att göra ett programmeringstest som ett villkor för att bli anställd.

Dessa tester kretsar vanligtvis kring kryptovalutaprojekt, blockkedjeintegrerade spel eller kryptovalutabaserade spelplattformar. Testfilerna lagras på privata databaser som GitHub. När offret laddar ner och kör projektet aktiveras skadlig kod som heter BeaverTail.

Hackare gör vanligtvis inte omfattande modifieringar av det ursprungliga projektets källkod, utan lägger istället till skadlig kod på svårupptäckta platser, till exempel i serverns backend-kod eller dolda i kommentarer. När BeaverTail körs försöker den extrahera data från webbläsaren för att stjäla inloggningsuppgifter och laddar ner en andra skadlig kod som heter InvisibleFerret. Denna skadliga kod fungerar som en bakdörr, vilket gör att angriparen kan installera AnyDesk – ett fjärrhanteringsverktyg som möjliggör ytterligare åtgärder efter intrånget.

Denna attackkampanj kan drabba användare med operativsystemen Windows, macOS och Linux. Experter har noterat offer globalt, allt från nybörjarprogrammerare till erfarna proffs. DeceptiveDevelopment-kampanjen har många likheter med Operation DreamJob, en tidigare hackerkampanj som riktade sig mot flyg- och försvarspersonal för att stjäla konfidentiell information.