- DeceptiveDevelopment lance des attaques de phishing ciblé sur les sites de recrutement et de freelance pour piéger des développeurs indépendants.
- L'opération repose sur deux familles de logiciels malveillants qui se complètent : BeaverTail qui agit comme voleur de données et téléchargeur, puis InvisibleFerret qui combine vol d'informations et accès à distance non autorisé.
- Les méthodes et techniques employées par DeceptiveDevelopment présentent des similarités avec d'autres opérations déjà connues et attribuées à des groupes alignés sur la Corée du Nord.
En 2024, ESET a identifié des activités malveillantes liées à la Corée du Nord, nommées DeceptiveDevelopment. Ces attaques ciblent les développeurs via de fausses offres d'emploi. Les cybercriminels se font passer pour des recruteurs et distribuent des logiciels malveillants dissimulés dans des projets. Leur but est de dérober des cryptomonnaies et des données de connexion.
« La stratégie du groupe consiste à faire passer de faux entretiens d'embauche avec des tests de programmation. Les victimes doivent travailler sur des projets hébergés sur GitHub ou des plateformes similaires. Ces fichiers contiennent en réalité des chevaux de Troie qui compromettent l'ordinateur une fois exécutés. », explique Matěj Havránek, chercheur chez ESET, qui a fait la découverte et analysé DeceptiveDevelopment.
Cette opération de DeceptiveDevelopment présente des similitudes avec d'autres, provenant de groupes alignés sur la Corée du Nord. Le groupe cible les développeurs sur Windows, Linux et macOS, principalement pour des gains financiers mais aussi potentiellement pour de l'espionnage. Les attaquants utilisent de faux profils de recruteurs sur les réseaux sociaux et visent un maximum de victimes sans restriction géographique.
DeceptiveDevelopment utilise deux types de malwares :
- BeaverTail, qui vole les identifiants des navigateurs et télécharge le second malware.
- InvisibleFerret, qui combine des fonctions d'espionnage et de porte dérobée, et peut installer AnyDesk pour maintenir l'accès au système compromis.
Les attaquants créent leurs profils de recruteurs soit en copiant des profils existants, soit en créant de toutes pièces de fausses identités. Ils contactent directement leurs cibles sur les plateformes de recrutement ou publient de fausses offres. Certains profils utilisés sont possiblement des comptes légitimes piratés. Les attaques se déroulent sur diverses plateformes, des sites d'emploi généralistes aux plateformes spécialisées en cryptomonnaies. Parmi elles figurent :
- Upwork
- Freelancer.com
- We Work Remotely
- Moonlight
- Crypto Jobs List
Les victimes reçoivent les fichiers malveillants soit directement, soit via des liens vers des dépôts comme GitHub. On leur demande de modifier le code et de tester le projet, ce qui déclenche l'infection. Les attaquants cachent habilement leur code malveillant dans le backend, souvent sur une seule ligne après un long commentaire, le rendant difficile à repérer.
« DeceptiveDevelopment s'inscrit dans la tendance des groupes alignés sur la Corée du Nord à privilégier les cryptomonnaies comme source de revenus illégaux. », conclut Havránek.
Pour une analyse plus détaillée et une décomposition technique de DeceptiveDevelopment, consultez le dernier article de blog d'ESET Research, « DeceptiveDevelopment targets freelance developers », sur WeLiveSecurity.com.
Carte thermique des différentes victimes de DeceptiveDevelopment
Contact Presse :
Jolya COHOUNDO : +33 07 76 99 70 29 - jolya.c@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre des menaces digitales de plus en plus sophistiquées. Protection des terminaux et des mobiles, détection et traitement des incidents, chiffrement et authentification multifacteur... les solutions performantes et faciles à utiliser d’ESET protègent et supervisent discrètement 24 heures sur 24, 7 jours sur 7, en mettant à jour les défenses en temps réel pour assurer sans aucune interruption la sécurité des utilisateurs et le bon fonctionnement des entreprises. L’évolution des menaces exige d’une entreprise de sécurité informatique qu’elle évolue également. C’est le cas d’ESET grâce à ses centres de R&D dans le monde entier travaillant à la protection de notre avenir commun.
Pour plus d’informations, consultez www.eset.com/fr/ ou suivez-nous sur LinkedIn, Facebook et X