TechRadarによると、ESET のサイバーセキュリティ専門家が、北朝鮮のハッカーグループによる「DeceptiveDevelopment」と呼ばれる新たなキャンペーンを発見したという。これらのグループは、ソーシャルメディア上でリクルーターを装い、フリーランスのプログラマー、特に暗号通貨関連のプロジェクトに携わっているプログラマーにアプローチします。

このキャンペーンの主な目的は暗号通貨を盗むことであり、ハッカーはリクルーターの偽のプロフィールをコピーまたは作成し、LinkedIn、Upwork、Freelancer.comなどのリクルートプラットフォームを通じてプログラマーに連絡します。採用条件として、プログラマーにプログラミングスキルテストを受けるよう求めます。

これらのテストは、多くの場合、暗号通貨プロジェクト、ブロックチェーン統合ゲーム、または暗号通貨ベースのギャンブル プラットフォームを中心に行われます。テスト ファイルは GitHub などのプライベート リポジトリに保存されます。被害者がプロジェクトをダウンロードして実行すると、BeaverTail と呼ばれるマルウェアが起動します。

ハッカーは通常、元のプロジェクトのソース コードをあまり変更せず、サーバーのソース コード (バックエンド) やコメント行に隠された場所など、検出が困難な場所に悪意のあるコードを追加するだけです。 BeaverTail が実行されると、ブラウザからデータを抽出してログイン認証情報を盗み出そうとすると同時に、InvisibleFerret と呼ばれる 2 番目のマルウェアもダウンロードします。このソフトウェアはバックドアとして機能し、侵入後に追加の操作を実行できるリモート管理ツールである AnyDesk を攻撃者がインストールできるようにします。

この攻撃キャンペーンは、Windows、macOS、Linux オペレーティング システムのユーザーに影響を与える可能性があります。専門家は、初心者プログラマーから熟練したプロまで、世界中の被害者を記録しています。 Operation DeceptiveDevelopment は、航空宇宙および防衛産業の従業員を標的にして機密情報を盗むハッカーによる以前のキャンペーンである Operation DreamJob と多くの類似点があります。