Laut TechRadar haben Cybersicherheitsexperten von ESET eine neue Kampagne namens DeceptiveDevelopment entdeckt, die von Hackergruppen mutmaßlich aus Nordkorea stammt. Diese Gruppen geben sich in sozialen Medien als Personalvermittler aus, um freiberufliche Programmierer anzusprechen, insbesondere solche, die an Projekten im Bereich Kryptowährungen arbeiten.

Das Hauptziel dieser Kampagne ist der Diebstahl von Kryptowährung. Hacker kopieren oder erstellen gefälschte Profile von Personalvermittlern und kontaktieren Programmierer über Rekrutierungsplattformen wie LinkedIn, Upwork oder Freelancer.com. Als Einstellungsvoraussetzung laden sie Programmierer zu einem Programmiertest ein.

Diese Tests drehen sich typischerweise um Kryptowährungsprojekte, Blockchain-basierte Spiele oder Kryptowährungs-Glücksspielplattformen. Die Testdateien werden in privaten Repositories wie GitHub gespeichert. Wenn das Opfer das Projekt herunterlädt und ausführt, wird eine Malware namens BeaverTail gestartet.

Hacker nehmen in der Regel kaum Änderungen am Quellcode des ursprünglichen Projekts vor, sondern fügen stattdessen Schadcode an schwer erkennbaren Stellen ein, beispielsweise im Backend oder versteckt in Kommentaren. Bei der Ausführung versucht BeaverTail, Daten aus dem Browser zu extrahieren, um Anmeldeinformationen zu stehlen. Zudem lädt es eine zweite Malware namens InvisibleFerret herunter. Diese fungiert als Hintertür und ermöglicht dem Angreifer die Installation von AnyDesk, einem Remote-Management-Tool, das nach dem Eindringen weitere Operationen ausführen kann.

Die Angriffskampagne kann Benutzer mit Windows-, macOS- und Linux-Betriebssystemen betreffen. Experten haben weltweit Opfer registriert, vom Programmieranfänger bis zum erfahrenen Profi. Die DeceptiveDevelopment-Kampagne weist Ähnlichkeiten mit Operation DreamJob auf, einer früheren Hackerkampagne, die Mitarbeiter der Luft- und Raumfahrt- und Rüstungsindustrie ins Visier nahm, um vertrauliche Informationen zu stehlen.