Gli sviluppatori di software program freelance sono l’obiettivo di una campagna in corso che sfrutta le esche a tema di lavoro per fornire famiglie di malware multipiattaforma conosciute come Beavertail e InvisibleFerret.
L’attività, collegata alla Corea del Nord, è stata in codice Enceptese Evvelopment, che si sovrappone ai cluster monitorati con i nomi Intervista contagiosa (AKA CL-STA-0240), Dev#Popper, famoso Chollima, Purplebravo e Pungsan tenace. La campagna è in corso da almeno alla nice del 2023.
“DeveppedEvelopment si rivolge agli sviluppatori di software program freelance attraverso la pista di lancia sui siti di caccia e freelance, con l’obiettivo di rubare i portafogli di criptovaluta e le informazioni di accesso da browser e gestori di password”, la società di sicurezza informatica ESET disse In un rapporto condiviso con le notizie di Hacker.
Nel novembre 2024, ESET confermato Per le notizie di hacker le sovrapposizioni tra lo sviluppo ingannevole e l’intervista contagiosa, classificandolo come un nuovo Gruppo Lazzaro attività che opera con l’obiettivo di condurre un furto di criptovaluta.
Le catene di attacco sono caratterizzate dall’uso di profili di reclutatore falsi sui social media per raggiungere i potenziali obiettivi e condividere con loro le basi di codice hanno ospitato su GitHub, Gitlab o Bitbucket che distribuiscono backdoor sotto il pretesto di un processo di intervista di lavoro.
Le successive iterazioni della campagna si sono ramificate su altre piattaforme di caccia al lavoro come Upwork, freelancer.com, lavoriamo in remoto, al chiaro di luna e alla lista dei lavori di crittografia. COME precedentemente evidenziatoqueste sfide di assunzione comportano in genere la fissazione di bug o l’aggiunta di nuove funzionalità al progetto legato alle criptovalute.
Oltre ai check di codifica, i progetti fasulli si mascherano come iniziative di criptovaluta, giochi con funzionalità blockchain e app di gioco con funzionalità di criptovaluta. Più spesso, il codice dannoso è incorporato all’interno di un componente benigno sotto forma di una singola riga.
“Inoltre, sono incaricati di costruire ed eseguire il progetto per testarlo, che è dove si verifica il compromesso iniziale”, ha detto il ricercatore della sicurezza Matěj Havránek. “I repository utilizzati sono generalmente privati, quindi a VIC-M viene prima chiesto di fornire il proprio ID account o l’indirizzo e-mail per ottenere l’accesso advert essi, molto probabilmente per nascondere l’attività dannosa dai ricercatori.”
Un secondo metodo utilizzato per raggiungere il compromesso iniziale ruota atto Mirotalk O Freeconferenza.
Mentre sia Beavertail che InvisibleFerret sono dotati di funzionalità di furto di informazioni, il primo funge da downloader per il secondo. Beavertail è inoltre disponibile in due gusti: una variante JavaScript che può essere collocata all’interno dei progetti trojanizzati e una versione nativa costruita utilizzando la piattaforma QT che è mascherata da software program di conferenza.
InvisibleFerret è un malware modulare Python che recupera ed esegue tre componenti aggiuntivi –
- pagache raccoglie informazioni e funge da backdoor che è in grado di accettare comandi remoti da un server controllato dagli attaccanti per registrare i tasti, acquisire contenuti degli appunti, eseguire comandi shell, file exfiltrate e dati da unità montata, nonché installare il modulo Anydesk e Browser Module e raccogli informazioni dalle estensioni del browser e dai gestori di password
- arcoche è responsabile del furto di dati di accesso, dati di autofill e informazioni di pagamento archiviate in browser a base di cromo come Chrome, Courageous, Opera, Yandex e Edge
- ADCche funge da meccanismo di persistenza installando il software program desktop remoto AnyDesk
ESET ha affermato che gli obiettivi principali della campagna sono gli sviluppatori di software program che lavorano in criptovaluta e progetti finanziari decentralizzati in tutto il mondo, con concentrazioni significative riportate in Finlandia, India, Italia, Pakistan, Spagna, Sudafrica, Russia, Ucraina e Stati Uniti
“Gli aggressori non distinguono in base alla posizione geografica e mirano a compromettere quante più vittime possibile per aumentare la probabilità di estrarre con successo fondi e informazioni.
Ciò è anche evidenziato nelle apparenti pratiche di codifica scarse adottate dagli operatori, che vanno dalla mancata rimuovere le word di sviluppo agli indirizzi IP locali utilizzati per lo sviluppo e il check, indicando che il set di intrusioni non è preoccupato per la furtività.
Vale la pena notare che l’uso delle esche per l’intervista di lavoro è una strategia classica adottata da vari gruppi di hacking nordcoreani, la più importante dei quali è una campagna di lunga knowledge soprannominata Operation Dream Job.
Inoltre, ci sono show che suggeriscono che anche gli attori della minaccia sono coinvolti nel fraudolento Schema di lavoratori ITin cui i cittadini nordcoreani fanno domanda per lavori all’estero in base a false identità al nice di disegnare stipendi regolari come un modo per finanziare le priorità del regime.
“Il cluster di sviluppo ingannevole è un’aggiunta a una già grande raccolta di schemi di guadagno impiegati da attori allineati alla Corea del Nord e si conformano a una tendenza in corso di spostamento dell’attenzione dal denaro tradizionale alle criptovalute”, ha affermato ESET.
“Durante la nostra ricerca, abbiamo osservato che passa da strumenti e tecniche primitive a malware più avanzati e capaci, nonché tecniche più raffinate per attirare le vittime e distribuire il malware.”
