Des hackers liés à la Corée du Nord ciblent les développeurs de logiciels indépendants avec du spear phishing (harponnage) sur des sites d’offres d’emploi et de freelance. Voilà ce qu’a découvert la firme de cybersécurité ESET Research.
Des chercheurs d’ESET ont constaté une série d’activités malveillantes liées à la Corée du Nord depuis 2024, les opérateurs se faisant passer pour des recruteurs de développeurs de logiciels indépendants par le biais de faux jobs sur des sites d’offres d’emploi et de freelance. Ils ont tenté d’envoyer ainsi à leurs cibles des projets dissimulant des logiciels malveillants de vol d’informations. ESET Research a appelé ce groupe d’activités ‘DeceptiveDevelopment’. Son objectif est de dérober des portefeuilles de crypto-monnaies, des identifiants de connexion de navigateurs et des gestionnaires de mots de passe.
Les hackers utilisent principalement deux familles de malware, en deux phases. Tout d’abord, BeaverTail, un voleur et téléchargeur d’informations, agit comme un simple voleur de données de connexion qui extrait des bases de données du navigateur avec les identifiants enregistrés, puis avec le téléchargeur, InvisibleFerret, un cheval de Troie d’accès à distance contenant des logiciels espions et des portes dérobées, capable également de rapatrier le logiciel légitime de gestion et de surveillance à distance AnyDesk, d’autres violations sont commises.
Test de codage
‘Ces techniques ressemblent à d’autres actions nord-coréennes bien connues’, selon ESET qui explicite la méthode. ‘Dans le cadre d’un faux entretien d’embauche, les opérateurs demandent à leurs victimes d’effectuer un test de codage, comme par exemple ‘ajouter une fonction à un projet existant, avec les fichiers nécessaires qui sont généralement hébergés dans des gisements privés sur GitHub ou d’autres plateformes similaires. Ces fichiers sont ensuite ‘trojanisés’: l’ordinateur de la victime est compromis une fois le projet téléchargé et exécuté’, explique Matěj Havránek, chercheur chez ESET, qui a découvert et analysé DeceptiveDevelopment.
Les opérateurs à l’origine de DeceptiveDevelopment se concentrent sur les développeurs de logiciels travaillant sur Windows, Linux et macOS. Pour se faire passer pour des recruteurs, les hackers copient les profils de personnes existantes, voire en créent de nouveaux. Ils approchent ensuite leurs victimes potentielles directement sur des plateformes d’offres d’emploi et de freelance, ou y publient de fausses annonces de recrutement. Ce faisant, ils ne font pas de distinction géographique, mais essaient de compromettre le plus grand nombre possible de victimes, afin d’augmenter leurs chances de réussir à obtenir des fonds et des informations.
