Programadores norcoreanos engañan a autónomos por orden del gobierno

Los desarrolladores de software freelance se han convertido en el objetivo de un nuevo ciberataque , en el que se están propagando los programas maliciosos BeaverTail e InvisibleFerret. La campaña, denominada DeceptiveDevelopment, está vinculada a hackers norcoreanos y comenzó, aproximadamente, en 2023.

El principal objetivo de los atacantes es obtener acceso a monederos de criptomonedas y credenciales de las víctimas. Para ello, los ciberdelincuentes emplean ingeniería social: crean perfiles falsos de reclutadores y contactan a los desarrolladores en plataformas especializadas para la búsqueda de empleo. Luego, envían a la víctima código malicioso disfrazado de una tarea dentro del proceso de entrevista.

Las plataformas atacadas incluyen GitHub, GitLab, Bitbucket, Upwork, Freelancer.com, We Work Remotely, Moonlight y Crypto Jobs List. A la víctima se le ofrece corregir errores o agregar nuevas funcionalidades a un proyecto de criptomonedas, que en realidad contiene código malicioso. El código suele estar oculto en un único fragmento aparentemente inofensivo.

En algunos casos, los atacantes solicitan a las víctimas que instalen una aplicación falsa para videoconferencias, como MiroTalk o FreeConference, que está infectada con malware. Una vez instalada la aplicación maliciosa, comienza la fase de robo de datos.

BeaverTail actúa como cargador para InvisibleFerret. Existen dos versiones de BeaverTail: una está escrita en JavaScript e integrada en proyectos, mientras que la otra está desarrollada en la plataforma Qt y se disfraza de software para videollamadas.

InvisibleFerret es un malware modular basado en Python y consta de tres componentes. El primero ("pay") recopila información, registra pulsaciones de teclas, intercepta el portapapeles, ejecuta comandos del atacante y roba archivos. El segundo ("bow") se especializa en el robo de contraseñas y datos de autocompletado en los navegadores Chrome, Brave, Opera, Yandex y Edge. El tercero ("adc") garantiza el acceso persistente mediante la instalación de AnyDesk para el control remoto.

Según ESET , los ataques afectan a desarrolladores de proyectos de criptomonedas en todo el mundo, incluidos Finlandia, India, Italia, Pakistán, España, Sudáfrica, Rusia, Ucrania y EE. UU. La ubicación geográfica de las víctimas no es un factor determinante, ya que los atacantes buscan infectar el mayor número posible de dispositivos.

Los expertos señalan el bajo nivel del código de los atacantes: en él permanecen comentarios de los desarrolladores, direcciones IP de prueba y otros rastros que indican la prisa en la creación del malware. No obstante, sus métodos están en constante evolución y se vuelven cada vez más sofisticados.

El uso de entrevistas de trabajo como señuelo en ataques no es una novedad para los hackers norcoreanos. Anteriormente, una táctica similar se observó en la operación Dream Job. Además, existen indicios de que los atacantes participan en un esquema de contratación de especialistas en TI, en el que ciudadanos de Corea del Norte se emplean bajo identidades falsas para generar ingresos en beneficio del régimen.

ESET subraya que la campaña DeceptiveDevelopment continúa la estrategia general de los grupos norcoreanos dirigida al robo de activos en criptomonedas. Con el tiempo, sus herramientas se vuelven más avanzadas y los métodos de introducción del código malicioso más convincentes.