フリーランスのプログラマーがハッカーの標的に

TechRadarによると、ESETのサイバーセキュリティ専門家は、北朝鮮を拠点とするハッカーグループによる「DeceptiveDevelopment」と呼ばれる新たな攻撃キャンペーンを発見した。このグループは、ソーシャルネットワーク上でリクルーターを装い、特に暗号通貨関連のプロジェクトに携わるフリーランスのプログラマーにアプローチする。

この攻撃の主な目的は暗号通貨の窃盗です。ハッカーは雇用主のプロフィールをコピーまたは偽造し、LinkedIn、Upwork、Freelancer.comなどの求人プラットフォームを通じてプログラマーに連絡を取ります。そして、採用条件としてプログラミングスキルテストを受けるようプログラマーに勧めます。

これらのテストは、通常、暗号通貨プロジェクト、ブロックチェーンベースのゲーム、または暗号通貨ギャンブルプラットフォームを対象としています。テストファイルはGitHubなどのプライベートリポジトリに保存されます。被害者がプロジェクトをダウンロードして実行すると、BeaverTailと呼ばれるマルウェアが起動します。

ハッカーは通常、元のプロジェクトのソースコードに大きな変更を加えることはなく、バックエンドやコメントに隠された場所など、検出が困難な場所に悪意のあるコードを追加します。BeaverTailが実行されると、ブラウザからデータを盗み出してログイン認証情報を盗み出そうとするだけでなく、InvisibleFerretと呼ばれる2つ目のマルウェアをダウンロードします。これはバックドアとして機能し、攻撃者は侵入後に追加の操作を実行できるリモート管理ツールであるAnyDeskをインストールできます。

この攻撃キャンペーンは、Windows、macOS、Linuxオペレーティングシステムのユーザーに影響を与える可能性があります。専門家は、初心者プログラマーからベテランのプロフェッショナルまで、世界中で被害者を記録しています。DeceptiveDevelopmentキャンペーンは、航空宇宙および防衛産業の従業員を標的に機密情報を盗むためにハッカーが行った以前のキャンペーンであるOperation DreamJobと多くの類似点があります。