Hackers die aan aan Noord-Korea worden gelinkt richten zich op freelance softwareontwikkelaars met spearphishing op vacature- en freelancesites. Dat ontdekte cybersecurity-beveiliger ESET Research.
ESET-onderzoekers zagen sinds 2024 een reeks kwaadaardige activiteiten die gelinkt zijn aan Noord-Korea, waarbij de operatoren zich voordoen als recruiters van freelance softwareontwikkelaars via valse jobs op vacature- en freelancesites. Ze probeerden hun doelwitten langs die weg softwareprojecten te sturen die infostealing-malware verborgen. ESET Research noemde deze activiteitencluster ‘DeceptiveDevelopment’. Hun doel is cryptocurrency-wallets, inloggegevens van browsers en van wachtwoordmanagers te stelen.
De hackers gebruiken vooral twee malware-families, in twee fasen. Eerst gebruikt BeaverTail, een infostealer en downloader, als een eenvoudige login-stealer die browser-databases met opgeslagen logins extraheert. Daarnaa komt de downloader, InvisibleFerret, een Remote Access Trojan die spyware en backdoor-componenten bevat en ook in staat is om de legitieme AnyDesk software voor extern beheer en monitoring te downloaden.
Codeertest
‘Deze technieken lijken op andere bekende Noord-Koreaanse acties’, aldus ESET dat de werkwijze toelicht. ‘als onderdeel van een nep sollicitatiegesprek vragen de operatoren hun slachtoffers een codeertest te doen, bijvoorbeeld een functie toevoegen aan een bestaand project, met de bestanden die nodig zijn voor de taak, die meestal worden gehost op privé-repositories op GitHub of andere gelijkaardige platformen. Deze bestanden worden vervolgens getrojaniseerd: de computer van het slachtoffer is gecompromitteerd zodra het project gedownload en uitgevoerd is’, zegt ESET-onderzoeker Matěj Havránek, die DeceptiveDevelopment ontdekte en analyseerde.
De operatoren achter DeceptiveDevelopment richten zich op softwareontwikkelaars die op Windows, Linux en macOS werken. Om zich voor te doen als recruiters kopiëren de aanvallers profielen van bestaande mensen of creëren ze zelfs nieuwe individuen. Ze benaderen dan rechtstreeks hun potentiële slachtoffers op vacature- en freelance-platformen, of plaatsen daar nepvacatures. Ze maken daarbij geen geografisch onderscheid, maar proberen zoveel mogelijk slachtoffers te compromitteren om de kans te vergroten dat ze met succes fondsen en informatie kunnen extraheren.
