Gli sviluppatori freelance di software sono diventati il bersaglio di una campagna in corso che utilizza l'esca di colloqui di lavoro per distribuire famiglie di malware cross-platform note come BeaverTail e InvisibleFerret. Questa attività, legata alla Corea del Nord, è stata denominata DeceptiveDevelopment e si sovrappone a cluster tracciati con i nomi di Contagious Interview, DEV#POPPER, Famous Chollima, PurpleBravo e Tenacious Pungsan. La campagna è attiva almeno dalla fine del 2023.

Attacco agli sviluppatori freelance

DeceptiveDevelopment prende di mira gli sviluppatori freelance attraverso spear-phishing su siti di ricerca lavoro e freelance, puntando a rubare portafogli di criptovalute e informazioni di accesso da browser e gestori di password. Secondo la società di sicurezza informatica ESET, gli attacchi sono caratterizzati dall'uso di profili di reclutatori falsi sui social media per contattare potenziali obiettivi e condividere codici trojanizzati su piattaforme come GitHub, GitLab o Bitbucket, che distribuiscono backdoor sotto le sembianze di un processo di colloquio di lavoro.

Espansione della campagna

Le iterazioni successive della campagna si sono estese ad altre piattaforme di ricerca lavoro come Upwork e Freelancer.com. Queste sfide di assunzione implicano spesso la correzione di bug o l'aggiunta di nuove funzionalità a progetti correlati alle criptovalute. Altri progetti fittizi si presentano come iniziative di criptovaluta, giochi con funzionalità blockchain e app di gioco d’azzardo con caratteristiche di criptovaluta. Spesso, il codice malevolo è inserito all'interno di un singolo componente innocuo sotto forma di una sola linea di codice.

Metodi di compromissione

Un secondo metodo di compromissione iniziale ruota attorno all'ingannare le vittime affinché installino una piattaforma di videoconferenza infetta da malware, come MiroTalk o FreeConference. BeaverTail e InvisibleFerret, entrambi dotati di capacità di furto di informazioni, svolgono ruoli distinti: BeaverTail funge da downloader per InvisibleFerret, che è un malware modulare in Python progettato per eseguire tre componenti aggiuntivi, tra cui un backdoor e strumenti di furto di dati da browser basati su Chromium.

Obiettivi della campagna

Gli obiettivi principali della campagna sono gli sviluppatori di software che lavorano su progetti di criptovaluta e finanza decentralizzata in tutto il mondo, con concentrazioni significative in Finlandia, India, Italia, Pakistan, Spagna, Sud Africa, Russia, Ucraina e Stati Uniti. Gli attaccanti non fanno distinzione basata sulla posizione geografica e mirano a compromettere il maggior numero possibile di vittime per aumentare la probabilità di estrarre con successo fondi e informazioni.

Strategia e evoluzione

Nel contesto più ampio, l'uso di esche di colloqui di lavoro è una strategia classica adottata da vari gruppi di hacker nordcoreani, evidenziando un trend continuo di focalizzazione verso le criptovalute rispetto al denaro tradizionale. Durante la ricerca, ESET ha osservato un'evoluzione da strumenti primitivi a malware più avanzati e tecniche più raffinate per attirare le vittime e distribuire il malware.