Nezávislí softwaroví vývojáři jsou cílem probíhající kampaně, která využívá náborové triky spojené s pracovními pohovory k šíření multiplatformních rodin malwaru známých jako BeaverTail a InvisibleFerret.
Tato aktivita, spojená se Severní Koreou, byla označena kódovým názvem „DeceptiveDevelopment“ (Podvodný vývoj), který se překrývá s dalšími skupinami sledovanými pod názvy jako Contagious Interview (také CL-STA-0240), DEV#POPPER, Famous Chollima, PurpleBravo a Tenacious Pungsan. Kampaň probíhá minimálně od konce roku 2023.
„DeceptiveDevelopment cílí na nezávislé softwarové vývojáře prostřednictvím spear-phishingu na pracovních a freelancingových platformách s cílem ukrást kryptoměnové peněženky a přihlašovací údaje z prohlížečů a správců hesel,“ uvedla společnost ESET
V listopadu 2024 ESET potvrdil překryvy mezi DeceptiveDevelopment a Contagious Interview a klasifikoval to jako novou aktivitu skupiny Lazarus, která má za cíl krádeže kryptoměn.
Útoky jsou charakterizovány použitím falešných profilů náborářů na sociálních sítích, kteří oslovují potenciální oběti a sdílejí s nimi trojanizované kódy hostované na platformách jako GitHub, GitLab nebo Bitbucket. Tyto kódy nasazují zadní vrátka pod záminkou procesu pracovního pohovoru.
Další iterace kampaně se rozšířily na jiné pracovní platformy, jako jsou Upwork, Freelancer.com, We Work Remotely, Moonlight a Crypto Jobs List. Jak bylo dříve zdůrazněno, tyto náborové výzvy obvykle zahrnují opravu chyb nebo přidání nových funkcí do projektů souvisejících s kryptoměnami.
Kromě testů kódování se falešné projekty vydávají za kryptoměnové iniciativy, hry s blockchainovou funkcionalitou a hazardní aplikace s kryptoměnovými prvky. Ve většině případů je škodlivý kód vložen do neškodné komponenty ve formě jediného řádku.
„Navíc jsou oběti instruovány, aby projekt sestavily a spustily, což je moment, kdy dochází k počátečnímu kompromitování,“ uvedl bezpečnostní expert Matěj Havránek. „Použité repozitáře jsou obvykle soukromé, takže oběť je nejprve požádána o poskytnutí svého ID účtu nebo e-mailové adresy, aby jí byl udělen přístup, pravděpodobně za účelem skrytí škodlivé aktivity před výzkumníky.“
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
