Según TechRadar , expertos en ciberseguridad de ESET han descubierto una nueva campaña llamada DeceptiveDevelopment, dirigida por grupos de hackers que se cree provienen de Corea del Norte. Estos grupos se hacen pasar por reclutadores en redes sociales para contactar a programadores freelance, especialmente a aquellos que trabajan en proyectos relacionados con criptomonedas.

El objetivo principal de esta campaña es robar criptomonedas. Los hackers copiarán o crearán perfiles falsos de reclutadores y contactarán a programadores a través de plataformas de reclutamiento como LinkedIn, Upwork o Freelancer.com. Invitarán a los programadores a realizar una prueba de habilidades de programación como requisito de contratación.

Estas pruebas suelen centrarse en proyectos de criptomonedas, juegos basados ​​en blockchain o plataformas de apuestas con criptomonedas. Los archivos de prueba se almacenan en repositorios privados como GitHub. Cuando la víctima descarga y ejecuta el proyecto, se ejecuta un malware llamado BeaverTail.

Los hackers no suelen realizar muchos cambios en el código fuente del proyecto original, sino que añaden código malicioso en ubicaciones difíciles de detectar, como en el backend o oculto en los comentarios. Al ejecutarse, BeaverTail intenta extraer datos del navegador para robar las credenciales de inicio de sesión y también descarga un segundo malware llamado InvisibleFerret, que actúa como una puerta trasera y permite al atacante instalar AnyDesk, una herramienta de administración remota que puede realizar operaciones adicionales tras la intrusión.

La campaña de ataque puede afectar a usuarios de sistemas operativos Windows, macOS y Linux. Los expertos han detectado víctimas en todo el mundo, desde programadores principiantes hasta profesionales experimentados. La campaña DeceptiveDevelopment guarda similitudes con la Operación DreamJob, una campaña anterior de hackers dirigida a empleados de la industria aeroespacial y de defensa para robar información confidencial.