Північнокорейські хакери крадуть криптовалюту у фрілансерів, зокрема і українських

Хакери Північної Кореї під виглядом рекрутерів націлили свої атаки на розробників-фрілансерів. Про це з посиланням на дослідження компанії ESET пише українське IT-медіа dev.ua, інформує Комерсант український.

Найбільше постраждали упродовж 2024 року внаслідок зловмисної діяльності, яка отримала назву DeceptiveDevelopment, фрілансери із США, Канади та деяких країн Європи.

До яких дій вдаються зловмисники

Хакери видають себе за рекрутерів у соціальних мережах, щоб націлитися на розробників-фрілансерів, особливо на тих, хто працює в криптовалютних проєктах. Основною метою атак є викрадення криптовалюти, ймовірно, з метою збільшення прибутку Північної Кореї.

Зловмисники копіюють або створюють образи рекрутерів і зв’язуються з розробниками через платформи для пошуку роботи, такі як LinkedIn, Upwork і Freelancer.com, We Work Remotely, Moonlight та Crypto Jobs List, пропонуючи їм можливість працевлаштування, якщо вони пройдуть тест на кодування.

Тестові файли розміщуються в приватних репозиторіях на GitHub або подібній платформі, і коли вони завантажуються, розгортається шкідливе програмне забезпечення BeaverTail.

Хакери часто копіюють цілі проєкти, не вносячи жодних змін, окрім додавання свого шкідливого програмного забезпечення та переписування файлу README. Зазвичай хакери намагаються заховати шкідливий код десь у проєкті, щоб він не викликав підозр або був легко помітним, наприклад, у внутрішньому коді у вигляді одного рядка за коментарем, який витісняє його за межі екрана.

BeaverTail атакує бази даних браузерів для викрадення облікових даних, а також завантажує другий етап кампанії, InvisibleFerret, який діє як бекдор, що дозволяє зловмиснику встановити програмне забезпечення для віддаленого керування AnyDesk для додаткової діяльності після компрометації.

Атаці піддаються користувачі Windows, Mac і Linux по всьому світу. Мішенню ставали як молоді, так і досвідчені розробники.

«Ми спостерігали лише розмови між нападниками та жертвами англійською мовою, але не можемо з упевненістю стверджувати, що вони не будуть використовувати засоби перекладу для спілкування з жертвами іншими мовами», – зазначають дослідники компанії ESET.

Інший спосіб зараження, який вони спостерігали, полягав у тому, що фейковий рекрутер запрошував жертву на співбесіду за допомогою платформи для проведення онлайн-конференцій і надавав посилання на вебсайт, з якого можна було завантажити необхідне програмне забезпечення для проведення конференцій. Цей вебсайт зазвичай є клоном наявної платформи для проведення конференцій, а завантажене програмне забезпечення містить першу стадію шкідливого програмного забезпечення.