- DeceptiveDevelopment lance des attaques de phishing ciblé sur les sites de recrutement et de freelance pour piéger des développeurs indépendants.
- L'opération repose sur deux familles de logiciels malveillants qui se complètent : BeaverTail qui agit comme voleur de données et téléchargeur, puis InvisibleFerret qui combine vol d'informations et accès à distance non autorisé.
- Les méthodes et techniques employées par DeceptiveDevelopment présentent des similarités avec d'autres opérations déjà connues et attribuées à des groupes alignés sur la Corée du Nord.
En 2024, ESET a identifié des activités malveillantes liées à la Corée du Nord, nommées DeceptiveDevelopment. Ces attaques ciblent les développeurs via de fausses offres d'emploi. Les cybercriminels se font passer pour des recruteurs et distribuent des logiciels malveillants dissimulés dans des projets. Leur but est de dérober des cryptomonnaies et des données de connexion.
« La stratégie du groupe consiste à faire passer de faux entretiens d'embauche avec des tests de programmation. Les victimes doivent travailler sur des projets hébergés sur GitHub ou des plateformes similaires. Ces fichiers contiennent en réalité des chevaux de Troie qui compromettent l'ordinateur une fois exécutés. », explique Matěj Havránek, chercheur chez ESET, qui a fait la découverte et analysé DeceptiveDevelopment.
Cette opération de DeceptiveDevelopment présente des similitudes avec d'autres, provenant de groupes alignés sur la Corée du Nord. Le groupe cible les développeurs sur Windows, Linux et macOS, principalement pour des gains financiers mais aussi potentiellement pour de l'espionnage. Les attaquants utilisent de faux profils de recruteurs sur les réseaux sociaux et visent un maximum de victimes sans restriction géographique.
DeceptiveDevelopment utilise deux types de malwares :
- BeaverTail, qui vole les identifiants des navigateurs et télécharge le second malware.
- InvisibleFerret, qui combine des fonctions d'espionnage et de porte dérobée, et peut installer AnyDesk pour maintenir l'accès au système compromis.
Les attaquants créent leurs profils de recruteurs soit en copiant des profils existants, soit en créant de toutes pièces de fausses identités. Ils contactent directement leurs cibles sur les plateformes de recrutement ou publient de fausses offres. Certains profils utilisés sont possiblement des comptes légitimes piratés. Les attaques se déroulent sur diverses plateformes, des sites d'emploi généralistes aux plateformes spécialisées en cryptomonnaies. Parmi elles figurent :
- Upwork
- Freelancer.com
- We Work Remotely
- Moonlight
- Crypto Jobs List
Les victimes reçoivent les fichiers malveillants soit directement, soit via des liens vers des dépôts comme GitHub. On leur demande de modifier le code et de tester le projet, ce qui déclenche l'infection. Les attaquants cachent habilement leur code malveillant dans le backend, souvent sur une seule ligne après un long commentaire, le rendant difficile à repérer.
« DeceptiveDevelopment s'inscrit dans la tendance des groupes alignés sur la Corée du Nord à privilégier les cryptomonnaies comme source de revenus illégaux. », conclut Havránek.
Pour une analyse plus détaillée et une décomposition technique de DeceptiveDevelopment, consultez le dernier article de blog d'ESET Research, « DeceptiveDevelopment targets freelance developers », sur WeLiveSecurity.com.
Carte thermique des différentes victimes de DeceptiveDevelopment
Contact Presse :
Jolya COHOUNDO : jolya.c@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.