Severokorejští hackeři spustili rozsáhlou kampaň zaměřenou na softwarové vývojáře pracující na volné noze. Pomocí falešných pracovních nabídek infikují jejich zařízení malwarem, který krade citlivá data, včetně kryptoměnových peněženek a přihlašovacích údajů. Jak se bránit a na co si dát pozor?
Podvodné pracovní nabídky
Podle společnosti ESET se stovky vývojářů softwaru na volné noze staly obětí severokorejských hackerů, kteří se vydávají za náboráře. Hackeři cílí především na anglicky mluvící vývojáře pracující na kryptoměnových a decentralizovaných finančních projektech.
Podvodníci využívají falešné profily a smyšlené identity k oslovení vývojářů na platformách jako LinkedIn, Upwork, Freelancer.com, We Work Remotely atd... V rámci této kampaně, označované jako DeceptiveDevelopment, byli vývojáři přesvědčeni ke stažení a spuštění škodlivého softwaru, maskovaného jako pracovní projekt.
Jak útoky probíhají?
Útočníci vytvoří věrohodné pracovní nabídky, kde nabízejí vývojářům zajímavé pracovní příležitosti. Jakmile vývojář projeví zájem, obdrží soubor nebo odkaz na privátní repozitář na platformách GitHub, GitLab či Bitbucket. Součástí těchto souborů je škodlivý kód, který se aktivuje ve chvíli, kdy vývojář projekt sestaví a spustí.
V neškodných součástech repozitáře se ukrývají nástroje jako BeaverTail a InvisibleFerret. První z nich slouží ke krádeži dat a stahování dalších škodlivých souborů, druhý je modulární spyware umožňující útočníkům přístup k napadenému zařízení.
Co malware dokáže?
Severokorejský malware umožňuje hackerům:
-
Krást kryptoměnové peněženky a přihlašovací údaje
-
Instalovat nástroje pro vzdálenou správu, například AnyDesk
-
Exfiltrovat data keyloggeru a clipboardu
-
Získávat citlivé informace z prohlížečů Chrome a Edge
-
Ovládat infikované zařízení a spouštět škodlivé příkazy
Útoky byly zaměřeny na zařízení se systémy Windows, Linux a MacOS. Výzkumníci ESET zjistili, že malware komunikuje s C&C servery přes HTTP a TCP sokety, přičemž útočníci využívají servery hostované u komerčních poskytovatelů.
Jak se chránit?
Pokud pracujete jako vývojář softwaru na volné noze, buďte obezřetní při přijímání pracovních nabídek. Důležité bezpečnostní kroky zahrnují:
-
Ověřování identity náborářů a zaměstnavatelů
-
Nespuštění neznámého kódu bez důkladné kontroly
-
Použití sandboxu pro testování podezřelých projektů
-
Aktualizaci bezpečnostních opatření a antivirové ochrany
Kampaň DeceptiveDevelopment totiž ukazuje, jak sofistikovaně dokážou útočníci cílící na softwarové vývojáře operovat. Zneužití důvěry ve freelancingové platformy a sociální sítě je alarmující. Proto je důležité, aby si vývojáři byli vědomi těchto hrozeb a dodržovali bezpečnostní opatření.