Hackeri napojení na Severnú Kóreu cielia na vývojárov na voľnej nohe a snažia sa ich okradnúť

• DeceptiveDevelopment sa zameriava na vývojárov softvéru na voľnej nohe prostredníctvom spearphishingu na stránkach s ponukami práce. Cieľom je krádež peňaženiek s kryptomenami, ako aj prihlasovacie údaje z prehliadačov a správcov hesiel.
• Táto kampaň využíva predovšetkým dve rodiny malvéru - BeaverTail (infostealer, downloader) a InvisibleFerret (infostealer, Remote Access Trojan - RAT).
• Techniky DeceptiveDevelopment sú podobné niekoľkým ďalším známym operáciám napojeným na Severnú Kóreu.

Výskumníci spoločnosti ESET zaznamenali od roku 2024 sériu škodlivých aktivít, pri ktorých sa útočníci vydávajú za recruiterov a vývojárov softvéru lákajú na falošné pracovné ponuky. Následne sa snažia svojim cieľom ponúknuť softvérové projekty, ktoré ukrývajú škodlivý kód zameraný na krádež informácií. Výskumníci spoločnosti nazvali tieto aktivity DeceptiveDevelopment. Hoci sa výskumníkom podarilo nájsť prepojenia na Severnú Kóreu, v súčasnosti tieto aktivity nepripisujú žiadnej konkrétnej APT skupine. Kampaň sa zameriava na vývojárov softvéru na voľnej nohe, freelancerov, ktorých sa snažia zaujať prostredníctvom spearphishingu na stránkach s ponukami práce. Cieľom je krádež peňaženiek s kryptomenami, ako aj prihlasovacie údaje z prehliadačov a správcov hesiel. Telemetria spoločnosti ESET odhaľuje, že obete tohto podvodu sa nachádzajú aj na Slovensku.

"V rámci falošného pracovného pohovoru požiadajú útočníci svoje obete, aby absolvovali test kódovania, napríklad pridanie funkcie do existujúceho projektu, pričom súbory potrebné na splnenie úlohy sú zvyčajne umiestnené na súkromných úložiskách na platforme GitHub alebo iných podobných platformách. Nanešťastie pre nádejného kandidáta sú tieto súbory trojanizované. Po stiahnutí a spustení projektu sa počítač obete kompromituje," vysvetľuje výskumník spoločnosti ESET Matěj Havránek, ktorý objavil a analyzoval kampaň DeceptiveDevelopment.

DeceptiveDevelopment využíva taktiky, techniky a postupy podobné niekoľkým ďalším známym operáciám, ktoré sú napojené na Severnú Kóreu. Útočníci sa zameriavajú na vývojárov softvéru v systémoch Windows, Linux a MacOS. Primárne kradnú kryptomeny kvôli finančnému zisku, pričom ich možným sekundárnym cieľom je kybernetická špionáž. Na oslovenie svojich cieľov používajú falošné profily recruiterov na sociálnych sieťach. Útočníci si obete nevyberajú na základe geografickej polohy, namiesto toho sa snažia kompromitovať čo najviac obetí, aby zvýšili pravdepodobnosť úspešného vylákania finančných prostriedkov a informácií.

Výskyt obetí kampane DeceptiveDevelopment

DeceptiveDevelopment využíva predovšetkým dve rodiny škodlivého kódu, ktoré sú doručené v dvoch fázach. V prvej fáze BeaverTail (infostealer a downloader) kradne prihlasovacie údaje, ktoré extrahuje z databázy prehliadača obsahujúcej uložené prihlásenia. V druhej fáze slúži ako downloader pre InvisibleFerret (infostealer, RAT), ktorý obsahuje komponenty spywaru a backdoor, ktorý je schopný stiahnuť legitímny softvér na vzdialenú správu a monitorovanie AnyDesk na činnosti po kompromitácii.

Aby útočníci pôsobili ako dôveryhodní náboroví pracovníci, kopírujú profily existujúcich ľudí, prípadne vytvárajú úplne nové profily. Potom buď priamo oslovujú svoje potenciálne obete na stránkach pre freelancerov či na hľadanie práce, alebo tam zverejňujú falošné pracovné ponuky. Zatiaľ čo niektoré z týchto profilov vytvorili samotní útočníci, iné sú potenciálne kompromitované profily skutočných ľudí.

Niektoré z platforiem, na ktorých dochádza k týmto interakciám, sú všeobecné platformy na hľadanie práce, zatiaľ čo iné sa zameriavajú predovšetkým na kryptomeny a blockchainové projekty, a teda viac zodpovedajú cieľom útočníkov. Medzi tieto platformy patria LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight a Crypto Jobs List.

Obete dostávajú súbory projektov buď priamo prostredníctvom prenosu súborov na stránke, alebo cez odkaz na úložisko ako je GitHub, GitLab alebo Bitbucket. Následne ich vyzvú, aby si stiahli súbory, pridali funkcie alebo opravili chyby a nakoniec informovali náborového pracovníka. Zároveň dostanú pokyn, aby projekt spustili s cieľom otestovať ho a práve vtedy dochádza ku kompromitácii. Útočníci často používajú šikovný trik, aby skryli svoj škodlivý kód. Umiestnia ho do inak neškodnej súčasti projektu, zvyčajne do backendového kódu, ktorý nesúvisí s úlohou zadanou vývojárovi. Tam ho pridajú ako jeden riadok za dlhý komentár. Týmto spôsobom sa presunie mimo obrazovku a väčšinou zostane skrytý.

„Kampaň DeceptiveDevelopment predstavuje prírastok do širokej zbierky schém na zarábanie peňazí, ktoré využívajú aktéri napojení na Severnú Kóreu a zodpovedá pokračujúcemu trendu presunu pozornosti z tradičných peňazí na kryptomeny,“ uzatvára Havránek.

Detailnú analýzu kampane DeceptiveDevelopment si môžete prečítať v angličtine v blogu na našom špecializovanom portáli WeLiveSecurity.com. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET Research.   

O spoločnosti ESET

ESET® poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a X.