😍 Спробуй Новий Trustee Plus на дотик - твій криптогаманець і платіжна картка тут 👉
Наталя ХандусенкоРобота
21 лютого 2025, 17:56
2025-02-21
Північнокорейські хакери націлились на розробників-фрілансерів, зокрема українських, під виглядом рекрутерів
Хакери Північної Кореї ховають шкідливе програмне забезпечення в проєктах GitHub, які потім надсилаються розробникам під виглядом тесту. Після завантаження та запуску комп’ютер жертви потрапляє під загрозу зараження шкідливим ПЗ BeaverTail, що є першим етапом. Фрілансери із США, Канади та деяких країн Європи постраждали найбільше протягом 2024 року внаслідок зловмисної діяльності, яка отримала назву DeceptiveDevelopment.
Хакери Північної Кореї ховають шкідливе програмне забезпечення в проєктах GitHub, які потім надсилаються розробникам під виглядом тесту. Після завантаження та запуску комп’ютер жертви потрапляє під загрозу зараження шкідливим ПЗ BeaverTail, що є першим етапом. Фрілансери із США, Канади та деяких країн Європи постраждали найбільше протягом 2024 року внаслідок зловмисної діяльності, яка отримала назву DeceptiveDevelopment.
Про це говориться в дослідженні компанії ESET. Хакери видають себе за рекрутерів у соціальних мережах, щоб націлитися на розробників-фрілансерів, особливо на тих, хто працює в криптовалютних проєктах. Основною метою атак є викрадення криптовалюти, ймовірно, з метою збільшення прибутку Північної Кореї.
Зловмисники копіюють або створюють образи рекрутерів і зв’язуються з розробниками через платформи для пошуку роботи, такі як LinkedIn, Upwork і Freelancer.com, We Work Remotely, Moonlight та Crypto Jobs List, пропонуючи їм можливість працевлаштування, якщо вони пройдуть тест на кодування.
Тестові файли розміщуються в приватних репозиторіях на GitHub або подібній платформі, і коли вони завантажуються, розгортається шкідливе програмне забезпечення BeaverTail.
Хакери часто копіюють цілі проєкти, не вносячи жодних змін, окрім додавання свого шкідливого програмного забезпечення та переписування файлу README. Зазвичай хакери намагаються заховати шкідливий код десь у проєкті, щоб він не викликав підозр або був легко помітним, наприклад, у внутрішньому коді у вигляді одного рядка за коментарем, який витісняє його за межі екрана.
README троянського проєкту на GitHub
BeaverTail атакує бази даних браузерів для викрадення облікових даних, а також завантажує другий етап кампанії, InvisibleFerret, який діє як бекдор, що дозволяє зловмиснику встановити програмне забезпечення для віддаленого керування AnyDesk для додаткової діяльності після компрометації.
Джерело: ESET
Атаці піддаються користувачі Windows, Mac і Linux по всьому світу. Мішенню ставали як від молодших до досвідчених розробників.
«Ми спостерігали лише розмови між нападниками та жертвами англійською мовою, але не можемо з упевненістю стверджувати, що вони не будуть використовувати засоби перекладу для спілкування з жертвами іншими мовами», — зазначають дослідники.
Інший спосіб зараження, який спостерігали дослідники, полягав у тому, що фейковий рекрутер запрошував жертву на співбесіду за допомогою платформи для проведення онлайн-конференцій і надавав посилання на вебсайт, з якого можна було завантажити необхідне програмне забезпечення для проведення конференцій. Цей вебсайт зазвичай є клоном наявної платформи для проведення конференцій, а завантажене програмне забезпечення містить першу стадію шкідливого програмного забезпечення.
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
Видання Financial Times опублікувало статтю про роботу українських хакерів у війні проти рф, засновану на розмові з українським білим хакером Микитою Книшем. Він, як і сотні інших хакерів, допомагає боротися із російськими загарбниками в кіберпросторі. Наводимо адаптований переклад матеріалу.
