Программисты КНДР обманывают фрилансеров по заданию правительства

Фриланс-разработчики программного обеспечения стали мишенью новой кибератаки , в рамках которой распространяются вредоносные программы BeaverTail и InvisibleFerret. Кампания, получившая название DeceptiveDevelopment, связана с северокорейскими хакерами и началась, ориентировочно, в 2023 году.

Основная цель атакующих — получить доступ к криптовалютным кошелькам и учётным данным жертв. Для этого злоумышленники используют социальную инженерию: создают фальшивые профили рекрутеров и связываются с разработчиками на специализированных платформах для поиска работы. Затем они отправляют жертве вредоносный код, замаскированный под задание в рамках собеседования.

Атакуемые платформы включают GitHub, GitLab, Bitbucket, Upwork, Freelancer.com, We Work Remotely, Moonlight и Crypto Jobs List. Жертве предлагается исправить ошибки или добавить новую функциональность в криптовалютный проект, который на самом деле содержит вредоносный код. Код часто маскируется в одном единственном невинном на вид фрагменте.

В некоторых случаях злоумышленники просят жертв установить поддельное приложение для видеоконференций, например MiroTalk или FreeConference, заражённое вредоносным ПО. После установки вредоносной программы начинается этап кражи данных.

BeaverTail выполняет роль загрузчика для InvisibleFerret. Существуют две его версии: одна написана на JavaScript и встраивается в проекты, другая создана на платформе Qt и маскируется под программное обеспечение для видеозвонков.

InvisibleFerret представляет собой модульное вредоносное ПО на Python и включает три компонента. Первый («pay») собирает информацию, записывает нажатия клавиш, перехватывает буфер обмена, выполняет команды злоумышленника и крадёт файлы. Второй («bow») занимается кражей паролей и данных автозаполнения в браузерах Chrome, Brave, Opera, Yandex и Edge. Третий («adc») обеспечивает постоянный доступ, устанавливая AnyDesk для удалённого управления.

По данным ESET, атаки охватывают разработчиков криптовалютных проектов по всему миру, включая Финляндию, Индию, Италию, Пакистан, Испанию, ЮАР, Россию, Украину и США. Географическое расположение жертв не играет роли — злоумышленники стремятся заразить как можно больше устройств.

Эксперты отмечают низкий уровень кода атакующих: в нём остаются комментарии разработчиков, тестовые IP-адреса и другие следы, указывающие на спешку при создании вредоносного ПО. Тем не менее, их методы постоянно эволюционируют, становясь всё более изощренными.

Применение тематики собеседований в атаках — не новинка для северокорейских хакеров. Ранее в похожей тактике была замечена операция Dream Job. Также есть основания полагать, что злоумышленники участвуют в схеме трудоустройства IT-специалистов, в рамках которой граждане КНДР устраиваются на работу под поддельными именами, чтобы зарабатывать деньги для нужд государства.

ESET подчёркивает, что кампания DeceptiveDevelopment продолжает общую стратегию северокорейских группировок, направленную на кражу криптовалютных активов. Со временем их инструменты становятся более сложными, а способы внедрения вредоносного кода — всё более убедительными.