Les développeurs de logiciels indépendants sont la cible d’une campagne en cours qui tire parti des leurres sur le thème des entretiens d’embauche pour offrir des familles de logiciels malveillants multiplateformes appelés Beavertail et InvisibleFerret.
L’activité, liée à la Corée du Nord, a été nommée DeceptedEvelow, qui chevauche des clusters suivis sous l’interview contagieuse (aka CL-Sta-0240), Dev # Popper, Famous Chollima, Purplebravo et Tenace Pungsan. La campagne est en cours depuis au moins fin 2023.
“DeceptivedEvelopment cible les développeurs de logiciels indépendants par le biais de phisces de lance sur les sites de chasse au travail et de freelance, visant à voler des portefeuilles de crypto-monnaie et des informations de connexion des navigateurs et des gestionnaires de mots de passe”, la société de cybersécurité ESET ESET ESET dit Dans un rapport partagé avec le Hacker News.
En novembre 2024, ESET a confirmé aux Hacker News les chevauchements entre le développement trompeur et l’interview contagieuse, le classant comme une nouvelle activité de groupe Lazare qui fonctionne dans le but de mener un vol de crypto-monnaie.
Les chaînes d’attaque sont caractérisées par l’utilisation de faux profils de recruteurs sur les réseaux sociaux pour atteindre des cibles potentielles et partager avec eux des bases de code trojanisées hébergées sur Github, Gitlab ou Bitbucket qui déploient les déambulations sous prétexte d’un processus d’entrevue.
Les itérations ultérieures de la campagne se sont étendues à d’autres plates-formes de recherche d’emploi comme Upwork, Freelancer.com, nous travaillons à distance, Moonlight et Crypto Jobs. Comme indiqué précédemment, ces défis d’embauche impliquent généralement de corriger les bogues ou d’ajouter de nouvelles fonctionnalités au projet lié à la crypto.
Outre les tests de codage, le faux projette se masquera comme des initiatives de crypto-monnaie, des jeux avec la fonctionnalité blockchain et des applications de jeu avec des fonctionnalités de crypto-monnaie. Plus souvent qu’autrement, le code malveillant est intégré dans un composant bénin sous la forme d’une seule ligne.
“En outre, ils sont invités à construire et à exécuter le projet afin de le tester, ce qui se produit le compromis initial”, a déclaré le chercheur en sécurité Matěj Havránek. “Les référentiels utilisés sont généralement privés, de sorte que le VIC-M est d’abord invité à fournir leur identifiant de compte ou leur adresse e-mail à leur accueillir, les plus susceptibles de cacher l’activité malveillante aux chercheurs.”
Une deuxième méthode utilisée pour obtenir un compromis initial tourne autour du fait de tromper leurs victimes dans l’installation d’une plate-forme de conférence vidéo à base de logiciels malveillants comme Mirotalk ou Freeconference.
Alors que Beavertail et InvisibleFerret sont livrés avec des capacités de vol d’information, le premier sert de téléchargeur pour le second. Beavertail est également disponible en deux saveurs: une variante JavaScript qui peut être placée dans les projets trojanisés et une version native construite à l’aide de la plate-forme QT déguisée en logiciel de conférence.
InvisibleFerret est un logiciel malveillant Python modulaire qui récupère et exécute trois composants supplémentaires –
- payerqui recueille des informations et agit comme une porte dérobée capable d’accepter les commandes distantes d’un serveur contrôlé par l’attaquant pour enregistrer des touches, capturer le contenu du presse-papiers, exécuter des commandes de shell, des fichiers et des données exfiltrates à partir de lecteurs montés, ainsi que d’installer le module AnyDesk et un module de navigateur. , et recueillir des informations à partir des extensions du navigateur et des gestionnaires de mots de passe
- arcqui est responsable du vol de données de connexion, de données sur le automatique et des informations de paiement stockées dans des navigateurs à base de chrome comme Chrome, Brave, Opera, Yandex et Edge
- ADCqui fonctionne comme un mécanisme de persistance en installant le logiciel de bureau à distance AnyDesk
ESET a déclaré que les principales cibles de la campagne sont les développeurs de logiciels travaillant dans des projets de crypto-monnaie et de financement décentralisé à travers le monde, avec des concentrations importantes rapportées en Finlande, en Inde, en Italie, au Pakistan, en Espagne, en Afrique du Sud, en Russie, en Ukraine et aux États-Unis
«Les attaquants ne distinguent pas sur la base de l’emplacement géographique et visent à compromettre autant de victimes que possible pour augmenter la probabilité d’extraire avec succès des fonds et des informations.
Cela est également mis en évidence dans les pratiques de codage médiocres apparentes adoptées par les opérateurs, allant d’un incapacité à supprimer les notes de développement aux adresses IP locales utilisées pour le développement et les tests, indiquant que l’ensemble d’intrusion n’est pas préoccupé par la furtivité.
Il convient de noter que l’utilisation de leurres d’entretien d’emploi est une stratégie classique adoptée par divers groupes de piratage nord-coréen, dont le plus important est une campagne de longue durée surnommée Operation Dream Job.
En outre, il existe des preuves suggérant que les acteurs de la menace sont également impliqués dans le régime frauduleux des travailleurs informatiques, dans lequel les ressortissants nord-coréens postulent pour des emplois à l’étranger sous de fausses identités afin de réaliser des salaires réguliers afin de financer les priorités du régime.
“Le cluster DevecedEvelovegment est un ajout à une collection déjà importante de régimes d’argent employés par les acteurs alignés par la Corée du Nord et se conforme à une tendance continue à passer de l’attention de l’argent traditionnel aux crypto-monnaies”, a déclaré ESET.
“Au cours de nos recherches, nous l’avons observé passant d’outils et de techniques primitifs à des logiciels malveillants plus avancés et plus capables, ainsi que des techniques plus polies pour attirer dans VIC-MS et déployer les logiciels malveillants.”




