Хакеры из Северной Кореи начали новую атаку на фриланс-разработчиков программного обеспечения. Они распространяют вредоносные программы под названиями BeaverTail и InvisibleFerret. Эта кампания, названная DeceptiveDevelopment, началась примерно в 2023 году.
Цель хакеров — получить доступ к криптовалютным кошелькам и данным пользователей. Они используют обманчивые методы, создавая фальшивые профили рекрутеров на платформах для поиска работы. Затем они отправляют жертвам вредоносный код, скрывая его под видом задания на собеседовании.
Хакеры атакуют различные платформы, такие как GitHub, GitLab, Bitbucket, Upwork, Freelancer.com, We Work Remotely, Moonlight и Crypto Jobs List. Они предлагают жертвам исправить ошибки или добавить функциональность в криптовалютный проект, который на самом деле содержит вредоносный код.
Иногда хакеры просят жертв установить поддельные приложения для видеоконференций, такие как MiroTalk или FreeConference, которые содержат вредоносное ПО. После установки этого ПО начинается кража данных.
BeaverTail работает как загрузчик для InvisibleFerret. InvisibleFerret состоит из трех компонентов, которые собирают информацию, крадут пароли и обеспечивают постоянный доступ к устройству жертвы.
Атаки распространяются на разработчиков криптовалютных проектов по всему миру. Хакеры стремятся заразить как можно больше устройств, вне зависимости от их местоположения.
Хотя код хакеров имеет низкий уровень, в нем остаются следы, указывающие на спешку при создании вредоносного ПО. Однако их методы постоянно совершенствуются, становясь более изощренными.
Эта атака не первая такого рода от северокорейских хакеров. Они ранее использовали подобные тактики, как Dream Job. Также есть предположения, что они участвуют в схеме трудоустройства IT-специалистов, чтобы заработать деньги для своей страны.
Кампания DeceptiveDevelopment продолжает стратегию северокорейских группировок по краже криптовалютных активов. Их инструменты становятся все более сложными, а способы внедрения вредоносного кода — все более убедительными.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
