- DeceptiveDevelopment lance des attaques de phishing ciblé sur les sites de recrutement et de freelance pour piéger des développeurs indépendants.
- L'opération repose sur deux familles de logiciels malveillants qui se complètent : BeaverTail qui agit comme voleur de données et téléchargeur, puis InvisibleFerret qui combine vol d'informations et accès à distance non autorisé.
- Les méthodes et techniques employées par DeceptiveDevelopment présentent des similarités avec d'autres opérations déjà connues et attribuées à des groupes alignés sur la Corée du Nord.
En 2024, ESET a identifié des activités malveillantes liées à la Corée du Nord, nommées DeceptiveDevelopment. Ces attaques ciblent les développeurs via de fausses offres d'emploi. Les cybercriminels se font passer pour des recruteurs et distribuent des logiciels malveillants dissimulés dans des projets. Leur but est de dérober des cryptomonnaies et des données de connexion.
« La stratégie du groupe consiste à faire passer de faux entretiens d'embauche avec des tests de programmation. Les victimes doivent travailler sur des projets hébergés sur GitHub ou des plateformes similaires. Ces fichiers contiennent en réalité des chevaux de Troie qui compromettent l'ordinateur une fois exécutés. », explique Matěj Havránek, chercheur chez ESET, qui a fait la découverte et analysé DeceptiveDevelopment.
Cette opération de DeceptiveDevelopment présente des similitudes avec d'autres, provenant de groupes alignés sur la Corée du Nord. Le groupe cible les développeurs sur Windows, Linux et macOS, principalement pour des gains financiers mais aussi potentiellement pour de l'espionnage. Les attaquants utilisent de faux profils de recruteurs sur les réseaux sociaux et visent un maximum de victimes sans restriction géographique.
DeceptiveDevelopment utilise deux types de malwares :
- BeaverTail, qui vole les identifiants des navigateurs et télécharge le second malware.
- InvisibleFerret, qui combine des fonctions d'espionnage et de porte dérobée, et peut installer AnyDesk pour maintenir l'accès au système compromis.
Les attaquants créent leurs profils de recruteurs soit en copiant des profils existants, soit en créant de toutes pièces de fausses identités. Ils contactent directement leurs cibles sur les plateformes de recrutement ou publient de fausses offres. Certains profils utilisés sont possiblement des comptes légitimes piratés. Les attaques se déroulent sur diverses plateformes, des sites d'emploi généralistes aux plateformes spécialisées en cryptomonnaies. Parmi elles figurent :
- Upwork
- Freelancer.com
- We Work Remotely
- Moonlight
- Crypto Jobs List
Les victimes reçoivent les fichiers malveillants soit directement, soit via des liens vers des dépôts comme GitHub. On leur demande de modifier le code et de tester le projet, ce qui déclenche l'infection. Les attaquants cachent habilement leur code malveillant dans le backend, souvent sur une seule ligne après un long commentaire, le rendant difficile à repérer.
« DeceptiveDevelopment s'inscrit dans la tendance des groupes alignés sur la Corée du Nord à privilégier les cryptomonnaies comme source de revenus illégaux. », conclut Havránek.
Pour une analyse plus détaillée et une décomposition technique de DeceptiveDevelopment, consultez le dernier article de blog d'ESET Research, « DeceptiveDevelopment targets freelance developers », sur WeLiveSecurity.com.
Carte thermique des différentes victimes de DeceptiveDevelopment
Contact Presse :
Laura PACCAGNELLA : +33 01 55 89 08 88 - laura.p@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établis dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Instagram.