Les développeurs indépendants ciblés par une campagne de cyberattaque

Les développeurs de logiciels indépendants, en particulier ceux impliqués dans des projets de cryptomonnaie, sont la cible d’une campagne de cyberattaque sophistiquée appelée DeceptiveDevelopment.

Des chercheurs de ESET ont découvert que des pirates, soupçonnés d’être liés à la Corée du Nord, se font passer pour des recruteurs afin de tromper les développeurs pour qu’ils téléchargent des logiciels malveillants déguisés en défis de codage ou en tâches d’entretien d’embauche.

Les attaquants créent de faux profils sur des plateformes de recherche d’emploi populaires comme LinkedIn, Upwork et Freelancer.com, se faisant passer pour des recruteurs proposant des opportunités de freelance lucratives.

Ils envoient aux victimes potentielles un test de codage ou un projet, souvent hébergé sur des plateformes comme GitHub, contenant un logiciel malveillant caché conçu pour voler des informations sensibles telles que les portefeuilles de cryptomonnaies, les identifiants de connexion et les données de navigation.

Une fois que le développeur télécharge et exécute le projet, son ordinateur est infecté par un logiciel malveillant appelé BeaverTail, qui sert d’outil de première étape pour le vol de données et le téléchargement de logiciels malveillants supplémentaires.

Un malware de deuxième étape, InvisibleFerret, est ensuite déployé, donnant aux attaquants un accès à distance à l’ordinateur de la victime et leur permettant d’extraire encore plus d’informations.

Les développeurs indépendants, en particulier ceux qui travaillent sur des projets de cryptomonnaie et de blockchain, sont les cibles principales, mais les attaquants ne font pas de discrimination en fonction de la localisation ou du niveau d’expérience. Des professionnels juniors comme chevronnés ont été touchés, avec des victimes signalées dans le monde entier.

Les hackers alignés sur la Corée du Nord ont une histoire de ciblage des projets de cryptomonnaie comme moyen de financer leurs opérations.

En volant des portefeuilles de crypto-monnaies et des identifiants de connexion, ils peuvent accéder directement aux fonds sans avoir besoin de blanchir de l’argent via les systèmes bancaires traditionnels, rendant ainsi les développeurs dans l’espace crypto particulièrement vulnérables.

Les chercheurs d’ESET conseillent aux développeurs indépendants d’être prudents lorsqu’ils sont approchés par des recruteurs proposant des défis de codage ou des projets. Il est essentiel de vérifier le profil du recruteur pour détecter des incohérences, comme un manque de connexions ou un compte nouvellement créé.

Avant d’exécuter un quelconque code, les développeurs devraient l’inspecter soigneusement à la recherche de lignes suspectes ou de scripts cachés, surtout dans les longs commentaires. Garder le logiciel antivirus à jour peut aider à détecter et bloquer les logiciels malveillants, et éviter de télécharger à partir de sources inconnues peut réduire le risque d’infection.

DeceptiveDevelopment fait partie d’une tendance croissante d’attaques cybernétiques ciblant les utilisateurs de cryptomonnaie.

Les chercheurs d’ESET avertissent que la campagne évolue, les attaquants affinant leurs techniques pour rendre la détection plus difficile. Il est vivement conseillé aux freelances et aux développeurs de rester vigilants et de signaler toute activité suspecte aux professionnels de la cybersécurité.