DeceptiveDevelopment utilizza spearphishing su piattaforme di ricerca lavoro per distribuire malware e rubare criptovalute e credenziali. Impiega gli infostealer BeaverTail e InvisibleFerret, con tecniche simili ad altre operazioni nordcoreane
Dal 2024, i ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno osservato una serie di attività malevole riconducibili alla Corea del Nord, in cui gli attaccanti, fingendosi recruiter nel settore dello sviluppo software, attirano le vittime con false offerte di lavoro. Successivamente, le inducono a scaricare progetti software che nascondono malware progettati per il furto di informazioni. ESET Research ha denominato questo cluster di attacco DeceptiveDevelopment. Sebbene sia riconducibile alla Corea del Nord, ESET non lo attribuisce attualmente a nessun attore delle minacce noto. L’obiettivo sono sviluppatori software freelance, presi di mira attraverso attacchi di spearphishing su siti di ricerca lavoro e piattaforme per freelance, con lo scopo di sottrarre portafogli di criptovalute e credenziali di accesso da browser e gestori di password.
“Come parte di un finto processo di selezione, gli operatori di DeceptiveDevelopment chiedono alle vittime di completare un test di programmazione, ad esempio aggiungendo una funzionalità a un progetto esistente. I file necessari per il compito sono solitamente ospitati su repository privati su GitHub o piattaforme simili. Sfortunatamente per il candidato, questi file contengono codice malevolo: una volta scaricato ed eseguito il progetto, il computer della vittima viene compromesso”, spiega Matěj Havránek, ricercatore di ESET che ha scoperto e analizzato DeceptiveDevelopment.
Le tattiche, tecniche e procedure di DeceptiveDevelopment sono simili a quelle di altre operazioni note riconducibili alla Corea del Nord. Gli attaccanti prendono di mira sviluppatori su Windows, Linux e macOS, con l’obiettivo primario di rubare criptovalute per fini economici, e con una possibile finalità secondaria di spionaggio informatico. Per entrare in contatto con le vittime, gli operatori creano profili falsi di recruiter sui social media. L’attacco non è mirato a una specifica area geografica, ma punta a compromettere il maggior numero possibile di vittime, aumentando così le probabilità di sottrarre fondi e informazioni.
DeceptiveDevelopment utilizza principalmente due famiglie di malware, distribuite in due fasi. Nella prima fase, BeaverTail (infostealer, downloader) estrae i database dei browser contenenti credenziali salvate e funge da downloader per la seconda fase, InvisibleFerret (infostealer, RAT). Quest’ultimo include componenti spyware e backdoor ed è in grado di scaricare il software di gestione remota AnyDesk per attività post-compromissione.
Per fingersi recruiter, gli attaccanti copiano i profili di persone reali o ne creano di nuovi. Successivamente, contattano direttamente le vittime su siti di ricerca lavoro e piattaforme per lavoratori autonomi, oppure pubblicano annunci di lavoro falsi. Alcuni profili vengono creati ex novo, mentre altri appartengono a persone reali, i cui account sono stati compromessi e modificati.
Le interazioni avvengono su piattaforme di ricerca lavoro generiche e su portali specializzati in criptovalute e blockchain, più in linea con gli obiettivi degli attaccanti. Tra i siti utilizzati figurano LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight e Crypto Jobs List.
Le vittime ricevono i file del progetto direttamente tramite trasferimento sulla piattaforma o attraverso un link a repository come GitHub, GitLab o Bitbucket. Viene chiesto loro di scaricare i file, aggiungere funzionalità o correggere bug e di testare il progetto eseguendolo, momento in cui avviene la compromissione. Gli attaccanti impiegano un metodo subdolo per nascondere il codice malevolo: lo inseriscono in una componente apparentemente innocua del progetto, spesso nel codice backend non direttamente collegato al compito assegnato, aggiungendolo come una singola riga dietro un lungo commento, in modo che resti fuori dallo schermo e passi inosservato.
“Il cluster DeceptiveDevelopment si aggiunge alla già ampia gamma di schemi finanziari utilizzati dagli attori allineati alla Corea del Nord e conferma il trend di spostamento dal denaro tradizionale alle criptovalute”, conclude Havránek.
Per un’analisi dettagliata e una spiegazione tecnica del set di strumenti di DeceptiveDevelopment, consultare il post del blog di ESET Research “DeceptiveDevelopment targets freelance developers” su WeLiveSecurity.com e seguire ESET Research su Twitter (ora X) per aggiornamenti sulle ultime novità della ricerca ESET.
