Современный мир IT и криптовалюты становится все более привлекательной мишенью для киберпреступников, особенно в контексте удаленной работы и фриланса. Северокорейские хакерские группировки запустили масштабную кампанию, направленную на фриланс-разработчиков, используя изощренные методы социальной инженерии и сложное вредоносное программное обеспечение. Цель — похищение конфиденциальных данных и кража криптовалюты, что подчеркивает растущую угрозу для профессионалов, работающих в цифровой сфере по всему миру. Кампания получила кодовое название DeceptiveDevelopment и действует с конца 2023 года. Она связывается с известной группой Lazarus, известной своими многоуровневыми атаками и финансовыми целями.
Основной метод атаки — использование поддельных профилей "рекрутеров" на платформах трудоустройства и фриланс-сайтах, таких как Upwork, Freelancer.com, We Work Remotely и Crypto Jobs List. Жертвы получают приглашения на якобы собеседования и получают доступ к репозиториям с вредоносным кодом под видом заданий на исправление ошибок или добавление функционала в криптовалютные проекты. Этот ход продается как стандартное техническое интервью или тестовое задание, к которому разработчикам предлагается подключиться и протестировать проект, собирая и компилируя код. Вредоносные компоненты зачастую встроены в безобидные на первый взгляд части кода, зачастую не превышающие одной строки, что затрудняет выявление угрозы даже опытными пользователями.
Среди вредоносных программ главными выступают BeaverTail и InvisibleFerret. BeaverTail действует как загрузчик, доставляющий InvisibleFerret — многофункциональное вредоносное ПО на Python. BeaverTail представлен в двух версиях: JavaScript-скрипт, внедряемый в исходный код, и нативное приложение, замаскированное под программное обеспечение для видеоконференций. InvisibleFerret обладает широким спектром возможностей — от кражи личных данных и паролей из браузеров, установленных менеджеров паролей, до записи нажатий клавиш и полного удаленного управления зараженными устройствами. Также он способен применять дополнительные модули, расширяющие ущерб.
Среди их функций — извлечение информации из браузеров на базе Chromium, даже оплачиваемых данных и автозаполнений, а также установка программ удаленного управления, таких как AnyDesk, обеспечивающих постоянный контроль над системой жертвы. Вместе эти инструменты представляют серьезную угрозу безопасности, особенно учитывая, что основными целями являются разработчики, работающие над проектами, связанными с криптовалютами и децентрализованными финансовыми сервисами. География жертв охватывает различные страны: Финляндию, Индию, Италию, Пакистан, Испанию, ЮАР, Россию, Украину и США. Важно отметить, что атакующие не ограничивают себя территориально и стремятся охватить максимально широкую аудиторию, повышая шансы на успешный взлом и кражу средств. Помимо принятия участия в интервью и сборки вредоносного кода, вторым способом заражения является фальсификация платформ для видеоконференций.
Жертвы получают приглашения скачать и установить программы, такие как MiroTalk или FreeConference, которые на самом деле содержат встроенное вредоносное ПО. Этот метод позволял без особых трудностей получить доступ к устройствам фрилансеров и незаметно собрать ценные данные. Примечательно, что разработчики вредоносных инструментов зачастую допускают элементарные ошибки в коде, например, не удаляют служебные комментарии и используют локальные IP-адреса в настройках. Это говорит о том, что злоумышленники не особо стремятся к маскировке и работают достаточно открыто, применяя массовый подход. История применения поддельных собеседований в рамках северокорейских группировок насчитывает годы.
Самая известная кампания в этом стиле — Operation Dream Job, где вместе с социальной инженерией комбинировались и другие методы вторжения. Кроме того, существует связь между хакерами, распространяющими вредоносное ПО, и схемами мошенничества с фальшивым трудоустройством IT-специалистов под чужими именами, которые работают на зарплатные проекты и таким образом финансируют государственные программы Северной Кореи. Социальные сети и платформы для размещения резюме и проектов содержат следы этой активности — аккаунты хакеров пересекаются с профилями, используемыми для создания поддельных биографий. Большая часть таких страниц уже была закрыта или удалена, но полностью искоренить угрозу сложно ввиду масштабов операции. Можно утверждать, что DeceptiveDevelopment стала важным дополнением к арсеналу Северной Кореи в киберпреступности, особенно учитывая переход от традиционных методов заработка к активной эксплуатации криптовалютных систем.
За последний год инструментарий и подходы хакеров значительно модернизировались, что делает борьбу с ними еще более сложной. Для фриланс-разработчиков и тех, кто ищет работу в сфере крипторазработок, данный кейс является серьезным предупреждением о необходимости повышенного внимания при взаимодействии с потенциальными работодателями и контактами в интернете. Крайне важно проверять подлинность предложений, быть осторожными при скачивании кода из малоизвестных репозиториев, а также использовать многоуровневую защиту, включающую антивирусы, менеджеры паролей и двухфакторную аутентификацию. Кроме того, ответственное отношение к установке стороннего ПО, особенно платформ для видеоконференций, поможет значительно снизить риск заражения. На фоне растущей цифровизации и популярности удаленной работы в киберпространстве создается целый пласт новых угроз, эксплуатирующих доверие и профессиональный интерес разработчиков.
