Pengembang perangkat lunak lepas adalah target kampanye berkelanjutan yang memanfaatkan umpan bertema wawancara kerja untuk memberikan keluarga malware lintas platform yang dikenal sebagai Beavertail dan Invisible.
Kegiatan tersebut, terkait dengan Korea Utara, telah diberi nama nama pengembangan yang ditipu, yang tumpang tindih dengan kelompok yang dilacak dengan nama-nama wawancara menular (alias CL-STA-0240), Dev#Popper, Chollima yang terkenal, Purplebravo, dan Pungsan yang ulet. Kampanye ini telah berlangsung sejak setidaknya akhir 2023.
“Pengembangan yang Ditesit menargetkan pengembang perangkat lunak lepas melalui spear-phishing di situs perburuan dan lepas, yang bertujuan untuk mencuri dompet cryptocurrency dan informasi login dari browser dan manajer kata sandi,” kata perusahaan keamanan siber ESET dalam sebuah laporan yang dibagikan dengan The Hacker News.
Pada bulan November 2024, ESET mengkonfirmasi kepada The Hacker News, tumpang tindih antara pengembangan yang menipu dan wawancara menular, mengklasifikasikannya sebagai aktivitas kelompok Lazarus baru yang beroperasi dengan tujuan untuk melakukan pencurian cryptocurrency.
Rantai serangan ditandai dengan penggunaan profil perekrut palsu di media sosial untuk menjangkau target prospektif dan berbagi dengan mereka basis kode yang diselenggarakan di GitHub, GitLab, atau Bitbucket yang menggunakan pintu belakang dengan alasan proses wawancara kerja.
Iterasi kampanye selanjutnya telah bercabang ke platform perburuan pekerjaan lainnya seperti Upwork, Freelancer.com, kami bekerja dari jarak jauh, Moonlight, dan daftar pekerjaan crypto. Seperti yang disorot sebelumnya, tantangan perekrutan ini biasanya memerlukan memperbaiki bug atau menambahkan fitur baru ke proyek terkait crypto.
Selain pengkodean tes, proyek palsu menyamar sebagai inisiatif cryptocurrency, game dengan fungsionalitas blockchain, dan aplikasi judi dengan fitur cryptocurrency. Lebih sering daripada tidak, kode jahat tertanam dalam komponen jinak dalam bentuk satu baris.
“Selain itu, mereka diperintahkan untuk membangun dan melaksanakan proyek untuk mengujinya, di situlah kompromi awal terjadi,” kata peneliti keamanan Matěj Havránek. “Repositori yang digunakan biasanya bersifat pribadi, jadi VIC-M pertama kali diminta untuk memberikan ID akun atau alamat email mereka untuk diberikan akses kepada mereka, kemungkinan besar akan menyembunyikan aktivitas jahat dari para peneliti.”
Metode kedua yang digunakan untuk mencapai kompromi awal berputar di sekitar menipu korban mereka agar memasang platform konferensi video yang dilacak malware seperti Mirotalk atau Freeconference.
Sementara Beavertail dan Invisibleferret datang dengan kemampuan mencuri informasi, yang pertama berfungsi sebagai pengunduh untuk yang terakhir. Beavertail juga hadir dalam dua rasa: varian JavaScript yang dapat ditempatkan di dalam proyek Trojanized dan versi asli yang dibangun menggunakan platform QT yang disamarkan sebagai perangkat lunak konferensi.
InvisibleFerret adalah malware python modular yang mengambil dan menjalankan tiga komponen tambahan –
- membayaryang mengumpulkan informasi dan bertindak sebagai pintu belakang yang mampu menerima perintah jarak jauh dari server yang dikendalikan penyerang untuk mencatat penekanan tombol, menangkap konten clipboard, menjalankan perintah shell, file exfiltrate dan data dari drive yang dipasang, serta menginstal Modul AnyDesk dan Browser Modul dan Browser AnyDesk dan Browser , dan kumpulkan informasi dari ekstensi browser dan manajer kata sandi
- busuryang bertanggung jawab untuk mencuri data login, data otomatis, dan informasi pembayaran yang disimpan di browser berbasis kromium seperti Chrome, Brave, Opera, Yandex, dan Edge
- ADCyang berfungsi sebagai mekanisme kegigihan dengan memasang perangkat lunak desktop jarak jauh AnyDesk
ESET mengatakan target utama kampanye ini adalah pengembang perangkat lunak yang bekerja di cryptocurrency dan proyek keuangan terdesentralisasi di seluruh dunia, dengan konsentrasi yang signifikan dilaporkan di Finlandia, India, Italia, Pakistan, Spanyol, Afrika Selatan, Rusia, Ukraina, dan AS
“Para penyerang tidak membedakan berdasarkan lokasi geografis dan bertujuan untuk mengkompromikan sebanyak mungkin korban untuk meningkatkan kemungkinan berhasil mengekstraksi dana dan informasi.
Ini juga dibuktikan dalam praktik pengkodean yang buruk yang diadopsi oleh operator, mulai dari kegagalan untuk menghapus catatan pembangunan hingga alamat IP lokal yang digunakan untuk pengembangan dan pengujian, yang menunjukkan bahwa set intrusi tidak peduli tentang stealth.
Perlu dicatat bahwa penggunaan Umpan Wawancara Kerja adalah strategi klasik yang diadopsi oleh berbagai kelompok peretasan Korea Utara, yang paling menonjol di antaranya adalah kampanye yang sudah berjalan lama yang dijuluki Operation Dream Job.
Selain itu, ada bukti yang menunjukkan bahwa para aktor ancaman juga terlibat dalam skema pekerja TI penipuan, di mana warga negara Korea Utara mengajukan permohonan pekerjaan luar negeri di bawah identitas palsu untuk menarik gaji reguler sebagai cara untuk mendanai prioritas rezim.
“Cluster pengembangan yang menipu adalah tambahan untuk koleksi skema penghasil uang yang sudah besar yang digunakan oleh aktor-aktor yang selaras Korea Utara dan sesuai dengan tren pergeseran fokus yang berkelanjutan dari uang tradisional ke cryptocurrency,” kata ESET.
“Selama penelitian kami, kami mengamatinya beralih dari alat dan teknik primitif menjadi malware yang lebih maju dan mampu, serta teknik yang lebih halus untuk memikat para korban dan menggunakan malware.”
