- Severokórejskí hackeri predstierajú náborových pracovníkov a lákajú freelancerov na falošné ponuky.
- Malvér BeaverTail kradne prihlasovacie údaje a sťahuje ďalší škodlivý softvér.
- Útočníci skrývajú škodlivý kód v projektoch za dlhé komentáre.
Odborníci zo spoločnosti ESET odhalili kybernetickú kampaň DeceptiveDevelopment, ktorá systematicky napáda programátorov pracujúcich na voľnej nohe. Útočníci s prepojením na Severnú Kóreu predstierajú, že sú náboroví pracovníci a ponúkajú freelancerom atraktívne pracovné možnosti.
V skutočnosti však chcú ukradnúť digitálne meny a dôverné informácie.
Experti monitorujú túto kampaň už nejaký čas. Útočníci používajú prepracovanú metódu cieleného phishingu na platformách ako LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight a Crypto Jobs List. Podľa údajov ESET sa medzi obeťami nachádzajú aj Slováci.
„Počas falošného prijímacieho procesu útočníci žiadajú obete o vykonanie programátorského testu,” hovorí Matěj Havránek, bezpečnostný analytik ESET, ktorý túto kampaň identifikoval.
Najčastejšie majú doplniť funkciu do existujúceho projektu, pričom potrebné súbory zvyčajne nájdu na súkromných repozitároch GitHub alebo podobných službách. Nič netušiaci uchádzač však sťahuje infikované súbory.

Už sa viac neboj o svoje peniaze.
Investuj a premeň svoje obavy na príležitosť.
Malvér útočí v dvoch krokoch
Hackeri využívajú dva hlavné typy škodlivého kódu. Najprv nasadia BeaverTail, ktorý funguje ako zlodej informácií a nástroj na sťahovanie ďalšieho malvéru. Tento program ukradne prihlasovacie údaje z webových prehliadačov a správcov hesiel.
Následne BeaverTail stiahne a nainštaluje InvisibleFerret, ktorý obsahuje špionážne funkcie a zadné vrátka. Tento malvér dokáže dokonca nainštalovať legitímny program AnyDesk, čím útočníci získajú úplnú kontrolu nad počítačom obete.
Útočníci sa nezameriavajú len na používateľov Windows. Ich škodlivý softvér dokáže napadnúť aj počítače s operačnými systémami Linux a MacOS, čím rozširujú okruh možných obetí.
Ako získavajú dôveru obetí
Hackeri vytvárajú falošné profily personalistov, aby pôsobili dôveryhodne. Niektoré profily si úplne vymýšľajú, iné kopírujú od skutočných ľudí a v niektorých prípadoch dokonca preberajú kontrolu nad existujúcimi profilmi skutočných náborových pracovníkov. Potom aktívne hľadajú potenciálne obete alebo vytvárajú falošné pracovné inzeráty.
Útočníci šikovne skrývajú škodlivý kód v projektoch, ktoré posielajú vývojárom. Umiestňujú ho do častí kódu, ktoré nesúvisia so zadanou úlohou, zvyčajne do backendových súborov. Škodlivý kód často pridávajú za dlhý komentár, čím ho posunú mimo viditeľnú časť obrazovky, takže vývojár ho ľahko prehliadne.
Spojitosť so Severnou Kóreou
Hoci výskumníci ESET zatiaľ nepripisujú tieto aktivity konkrétnej hackerskom skupine, spôsoby a postupy DeceptiveDevelopment výrazne pripomínajú iné známe operácie spojené so Severnou Kóreou. Hlavným cieľom útočníkov zostáva krádež kryptomien pre finančný zisk, ale pravdepodobne sa zameriavajú aj na kybernetickú špionáž.
„Kampaň DeceptiveDevelopment rozširuje zbierku podvodných schém, ktoré využívajú aktéri spojení so Severnou Kóreou,” dodáva Havránek. „Potvrdzuje to pokračujúci trend presunu záujmu z klasických peňazí na kryptomeny.”
Odporúčania na ochranu
Bezpečnostní experti radia freelancerom dodržiavať tieto zásady:
- Vždy si overte totožnosť potenciálnych klientov cez viaceré komunikačné kanály.
- Nespúšťajte kód z neznámych zdrojov bez dôkladnej kontroly.
- Používajte moderný bezpečnostný softvér s aktuálnymi databázami hrozieb.
- Držte svoje kryptomenové peňaženky oddelene od pracovných zariadení.
- Pravidelne zálohujte dôležité dáta na externé médiá.