Северокорейские хакеры воруют криптовалюту у фрилансеров, в том числе и украинских

26 февраля 12:56

Хакеры Северной Кореи под видом рекрутеров нацелили свои атаки на разработчиков-фрилансеров. Об этом со ссылкой на исследование компании ESET пишет украинское IT-медиа dev.ua, информирует «Коммерсант Украинский».

Больше всего пострадали в течение 2024 года в результате злонамеренной деятельности, которая получила название DeceptiveDevelopment, фрилансеры из США, Канады и некоторых стран Европы.

К каким действиям прибегают злоумышленники

Хакеры выдают себя за рекрутеров в социальных сетях, чтобы нацелиться на разработчиков-фрилансеров, особенно на тех, кто работает в криптовалютных проектах. Основной целью атак является похищение криптовалюты, вероятно, с целью увеличения прибыли Северной Кореи.

Злоумышленники копируют или создают образы рекрутеров и связываются с разработчиками через платформы для поиска работы, такие как LinkedIn, Upwork и Freelancer.com, We Work Remotely, Moonlight и Crypto Jobs List, предлагая им возможность трудоустройства, если они пройдут тест на кодирование.

Тестовые файлы размещаются в частных репозиториях на GitHub или подобной платформе, и когда они загружаются, разворачивается вредоносное программное обеспечение BeaverTail.

Хакеры часто копируют целые проекты, не внося никаких изменений, кроме добавления своего вредоносного программного обеспечения и переписывания файла README. Обычно хакеры пытаются спрятать вредоносный код где-то в проекте, чтобы он не вызывал подозрений или был легко заметен, например, во внутреннем коде в виде одной строки за комментарием, который вытесняет его за пределы экрана.

BeaverTail атакует базы данных браузеров для похищения учетных данных, а также загружает второй этап кампании, InvisibleFerret, который действует как бэкдор, позволяющий злоумышленнику установить программное обеспечение для удаленного управления AnyDesk для дополнительной деятельности после компрометации.

Атаке подвергаются пользователи Windows, Mac и Linux по всему миру. Мишенью становились как молодые, так и опытные разработчики.

«Мы наблюдали только разговоры между нападающими и жертвами на английском языке, но не можем с уверенностью утверждать, что они не будут использовать средства перевода для общения с жертвами на других языках», — отмечают исследователи компании ESET.

Другой способ заражения, который они наблюдали, заключался в том, что фейковый рекрутер приглашал жертву на собеседование с помощью платформы для проведения онлайн-конференций и предоставлял ссылку на веб-сайт, с которого можно было скачать необходимое программное обеспечение для проведения конференций. Этот вебсайт обычно является клоном имеющейся платформы для проведения конференций, а загруженное программное обеспечение содержит первую стадию вредоносного программного обеспечения.

Как сообщал «Коммерсант Украинский», 21 февраля криптовалютная биржа Bybit подверглась масштабной хакерской атаке, в результате которой было похищено более 1,4 миллиарда долларов в различных криптоактивах, включая 401 тыс 347 эфиров. Инцидент произошел из-за компрометации кошелька Ethereum биржи, что позволило злоумышленникам перевести средства на неизвестный адрес.

В конце января стало известно об атаках хакеров с использованием устаревших версий WordPress и плагинов для изменения содержимого сайтов и заставляя посетителей загружать вредоносное программное обеспечение. «Коммерсант Украинский» об этом также сообщал. Исследователи из компании c/side обнаружили более 10 000 сайтов, которые стали жертвами этой атаки.

А Группа разведки угроз Google сообщает, что хакерская группировка APT44 (также известная как Sandworm) и другие хакеры, связанные с Россией, изобрели новые способы шпионить за учетными записями Signal, который используют украинские военные и чиновники. Как рассказывал «Коммерсант Украинский», учитывая такие атаки, Google рекомендовал всем пользователям Signal обновить приложение до новейшей версии.

Василевич Сергій

Редактор