Stotine slobodnih programera softvera, u rasponu od mlađih programera do iskusnih profesionalaca, bili su ciljani i zaraženi sjevernokorejskim malicioznim softverom tokom prošle godine, prema novom izvještaju ESET-a.
Žrtve, uglavnom povezane sa kriptovalutama i projektima decentralizovanih finansija i govornicima engleskog jezika, bile su na meti lažnih ponuda za posao u sklopu široko rasprostranjene kampanje praćene kao DeceptiveDevelopment .
U sklopu napada, koji su trajali od početka 2024., hakeri su se oslanjali na lažne ličnosti i kopirali profile kako bi se predstavljali kao regruteri za razvoj softvera i uvjerili žrtve da preuzmu softverske projekte koji sadrže maliciozni softver.
Dugo se viđalo da sjevernokorejski hakeri koriste lažne ponude za posao kako bi isporučili maliciozni softver nesuđenim žrtvama, bilo u svrhe špijunaže, bilo zbog finansijske dobiti, a ESET napominje da kampanja DeceptiveDevelopment slijedi iste obrasce.
Na platformama kao što su LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight i Crypto Jobs List, napadači objavljuju lažne ponude za posao ili se približavaju ciljevima koji traže posao kako bi ih uvjerili da preuzmu maliciozni projekat.
ESET upozorava da se od ciljeva traži da pregledaju softverski projekat, koji se isporučuje bilo putem prenosa datoteka ili putem veze do privatnog skladišta na GitHub, GitLab ili Bitbucket, kako bi ga kompajlovali i izvršili, te da izvještavaju lažnog regruta o svim otkrivenim problemima.
Unutar benignih komponenti skladišta, međutim, napadači su sakrili maliciozni kod kako bi zarazili žrtvinu mašinu BeaverTail-om, alatom za krađu informacija i preuzimačem koji koristi InvisibleFerret, modularni špijunski softver baziran na Pythonu i backdoor na sistemu.
Dvije porodice malicioznog softvera omogućavaju sjevernokorejskim hakerima da prikupljaju i eksfiltriraju novčanike kriptovaluta, pristupne podatke i da uvedu dodatne alate, kao što je AnyDesk softver za daljinsko upravljanje i nadzor. Napadi su bili usmjereni na Windows, Linux i macOS uređaje.
ESET je identifikovao dvije verzije BeaverTaila, napisane u JavaScript-u i Qt-u, sa sličnim mogućnostima, kao što je eksfiltracija osetljivih informacija iz Chrome-a i Edge-a.
InvisibleFerret, koji ima četiri modula, postiže postojanost kroz implementaciju AnyDesk modula i zahtijeva interakciju operatera za izvršenje naredbi, eksfiltraciju podataka i širenje napada.
Backdoor podržava osam komandi, omogućavajući napadačima da izvrše shell komande, eksfiltriraju podatke iz keyloggera i clipboard kradljivaca, instaliraju dodatne module, ukradu datoteke i direktorijume preko FTP-a, završe procese pretraživača i udalje malver.
ESET-ova istraga o ovim napadima otkrila je korištenje namjenskih servera koje hostuju komercijalni hosting provajderi i upotrebu HTTP i TCP utičnica za komunikaciju sa serverom za komandu i kontrolu (C&C).
“DeceptiveDevelopment klaster je dodatak već velikoj kolekciji šema za zaradu novca koje koriste akteri iz Sjeverne Koreje i u skladu je s tekućim trendom pomjeranja fokusa s tradicionalnog novca na kriptovalute,” napominje ESET.
Izvor: SecurityWeek
