Frilansprogrammerere blir mål for hackere

Ifølge TechRadar har cybersikkerhetseksperter fra ESET oppdaget en ny kampanje kalt DeceptiveDevelopment fra hackergrupper som antas å være fra Nord-Korea. Disse gruppene utgir seg for å være rekrutterere på sosiale medier for å kontakte frilansprogrammerere, spesielt de som jobber med kryptovalutarelaterte prosjekter.

Hovedmålet med denne kampanjen er å stjele kryptovaluta. Hackere vil kopiere eller lage falske profiler av rekrutterere og kontakte programmerere gjennom rekrutteringsplattformer som LinkedIn, Upwork eller Freelancer.com. De vil invitere programmerere til å ta en programmeringsferdighetstest som en betingelse for ansettelse.

Disse testene dreier seg vanligvis om kryptovalutaprosjekter, blokkjedebaserte spill eller kryptovaluta-gamblingplattformer. Testfilene lagres på private databaser som GitHub. Når offeret laster ned og kjører prosjektet, startes en skadelig programvare kalt BeaverTail.

Hackere gjør vanligvis ikke mange endringer i den opprinnelige prosjektets kildekode, men legger i stedet til skadelig kode på steder som er vanskelige å oppdage, for eksempel i backend eller skjult i kommentarer. Når den kjøres, prøver BeaverTail å tømme data fra nettleseren for å stjele påloggingsinformasjon, og laster også ned en annen skadelig programvare kalt InvisibleFerret, som fungerer som en bakdør, slik at angriperen kan installere AnyDesk, et verktøy for ekstern administrasjon som kan utføre ytterligere operasjoner etter inntrengingen.

Angrepskampanjen kan påvirke brukere på operativsystemene Windows, macOS og Linux. Eksperter har registrert ofre over hele verden, alt fra nybegynnere i programmering til erfarne fagfolk. DeceptiveDevelopment-kampanjen har likheter med Operation DreamJob, en tidligere kampanje av hackere som rettet seg mot ansatte i luftfarts- og forsvarsindustrien for å stjele konfidensiell informasjon.