وفقًا لموقع TechRadar ، اكتشف خبراء الأمن السيبراني من شركة ESET حملة جديدة تسمى DeceptiveDevelopment من مجموعات القراصنة التي يُعتقد أنها من كوريا الشمالية. ستعمل هذه المجموعات على التظاهر بأنها جهات توظيف على وسائل التواصل الاجتماعي للتواصل مع المبرمجين المستقلين، وخاصة أولئك الذين يعملون في مشاريع مرتبطة بالعملات المشفرة.

الهدف الرئيسي من هذه الحملة هو سرقة العملات المشفرة، حيث يقوم المتسللون بنسخ أو إنشاء ملفات تعريف مزيفة للموظفين والتواصل مع المبرمجين من خلال منصات التوظيف مثل LinkedIn أو Upwork أو Freelancer.com. سيقومون بدعوة المبرمجين لإجراء اختبار مهارات البرمجة كشرط للتوظيف.

تدور هذه الاختبارات غالبًا حول مشاريع العملات المشفرة، أو الألعاب التي تدعم تقنية blockchain، أو منصات المقامرة القائمة على العملات المشفرة. يتم تخزين ملفات الاختبار في مستودعات خاصة مثل GitHub. عندما يقوم الضحية بتنزيل المشروع وتشغيله، يتم تنشيط برنامج ضار يسمى BeaverTail.

لا يقوم المتسللون عادةً بتعديل الكثير في الكود المصدر للمشروع الأصلي، ولكنهم يضيفون فقط الكود الضار في الأماكن التي يصعب اكتشافها، مثل الكود المصدر للخادم (الخلفية) أو مخفيًا في أسطر التعليقات. عند تنفيذه، سيحاول BeaverTail استخراج البيانات من المتصفح لسرقة بيانات اعتماد تسجيل الدخول، بينما يقوم أيضًا بتنزيل قطعة ثانية من البرامج الضارة تسمى InvisibleFerret. يعمل البرنامج كباب خلفي، مما يسمح للمهاجمين بتثبيت AnyDesk - وهي أداة إدارة عن بعد يمكنها إجراء عمليات إضافية بعد الاختراق.

يمكن أن تؤثر حملة الهجوم هذه على المستخدمين على أنظمة التشغيل Windows وmacOS وLinux. وقد وثّق الخبراء الضحايا في جميع أنحاء العالم، بدءًا من المبرمجين المبتدئين وحتى المحترفين المخضرمين. تتشابه عملية DeceptiveDevelopment في العديد من النواحي مع عملية DreamJob، وهي حملة سابقة شنها قراصنة استهدفت موظفي صناعة الطيران والدفاع لسرقة معلومات سرية.