По данным TechRadar , эксперты по кибербезопасности из ESET обнаружили новую кампанию под названием DeceptiveDevelopment, организованную хакерскими группами, предположительно из Северной Кореи. Эти группы будут выдавать себя за рекрутеров в социальных сетях, чтобы находить внештатных программистов, особенно тех, кто работает над проектами, связанными с криптовалютой.

Основная цель этой кампании — кража криптовалюты. Хакеры копируют или создают поддельные профили рекрутеров и связываются с программистами через платформы по подбору персонала, такие как LinkedIn, Upwork или Freelancer.com. Они предложат программистам пройти тест на знание программирования в качестве условия приема на работу.

Эти тесты часто касаются криптовалютных проектов, игр на основе блокчейна или криптовалютных игровых платформ. Тестовые файлы хранятся в частных репозиториях, таких как GitHub. Когда жертва загружает и запускает проект, активируется вредоносная программа под названием BeaverTail.

Хакеры обычно не вносят существенных изменений в исходный код оригинального проекта, а лишь добавляют вредоносный код в труднообнаружимые места, например, в исходный код сервера (бэкэнд) или скрывают его в строках комментариев. После запуска BeaverTail попытается извлечь данные из браузера, чтобы украсть учетные данные для входа, а также загрузить вторую вредоносную программу под названием InvisibleFerret. Программное обеспечение действует как бэкдор, позволяя злоумышленникам установить AnyDesk — инструмент удаленного управления, который может выполнять дополнительные операции после вторжения.

Эта атака может затронуть пользователей операционных систем Windows, macOS и Linux. Эксперты зафиксировали жертв по всему миру: от начинающих программистов до опытных профессионалов. Операция DeceptiveDevelopment имеет много общего с операцией DreamJob — предыдущей кампанией хакеров, нацеленной на сотрудников аэрокосмической и оборонной промышленности с целью кражи секретной информации.