ESET Research ontdekt Noord-Korea-gelieerde DeceptiveDevelopment richt zich op onafhankelijke softwareontwikkelaars met infostealers

Sliedrecht, 20 februari 2025 – ESET -onderzoekers hebben sinds 2024 een reeks kwaadaardige activiteiten waargenomen die in verband worden gebracht met Noord-Korea. De aanvallers doen zich voor als recruiters in de softwareontwikkeling en verleiden slachtoffers met valse werkaanbiedingen. Vervolgens proberen ze de doelwitten schadelijke softwareprojecten aan te bieden die infostealing-malware verbergen. ESET Research noemt deze cluster van activiteiten DeceptiveDevelopment. Deze Noord-Korea-gelieerde dreiging wordt door ESET niet toegeschreven aan een bekende dreigingsactor. De aanvallen richten zich op freelance softwareontwikkelaars via spearphishing op vacature- en freelanceplatforms en zijn bedoeld om cryptowallets en inloggegevens uit browsers en wachtwoordmanagers te stelen.

“Als onderdeel van een fictief sollicitatieproces vragen de operators van DeceptiveDevelopment hun doelwitten om een coderingstest te doen, zoals het toevoegen van een functie aan een bestaand project. De bestanden die nodig zijn voor deze taak worden doorgaans gehost op private repositories op GitHub of vergelijkbare platforms. Helaas voor de enthousiaste sollicitant zijn deze bestanden voorzien van kwaadaardige code: zodra ze het project downloaden en uitvoeren, wordt hun computer gecompromitteerd,” legt ESET-onderzoeker Matěj Havránek uit, die DeceptiveDevelopment ontdekte en analyseerde.

Geavanceerde aanvalstechnieken

De tactieken, technieken en procedures (TTP’s) van DeceptiveDevelopment vertonen gelijkenissen met verschillende andere Noord-Korea-gelieerde operaties. De aanvallers richten zich op softwareontwikkelaars die werken met Windows, Linux en macOS. De belangrijkste motivatie lijkt financieel gewin door het stelen van cryptovaluta, met mogelijk een secundair doel van cyberspionage. De aanvallers benaderen hun doelwitten via valse recruiterprofielen op sociale media en maken geen onderscheid op basis van geografische locatie. In plaats daarvan proberen ze zoveel mogelijk slachtoffers te compromitteren om hun slagingskansen te vergroten.

DeceptiveDevelopment maakt gebruik van een tweestapsaanpak met twee malwarefamilies:

BeaverTail (infostealer, downloader) wordt in de eerste fase ingezet als eenvoudige inlogdief, die browserdatabases met opgeslagen inloggegevens steelt en fungeert als downloader voor de tweede fase.
InvisibleFerret (infostealer, RAT) wordt in de tweede fase ingezet en bevat spionagesoftware en backdoor-componenten. Bovendien kan het de legitieme externe beheersoftware AnyDesk downloaden voor post-compromisactiviteiten.
Werkwijze van de cybercriminelen

Om zich als recruiters voor te doen, kopiëren de aanvallers bestaande profielen van echte mensen of creëren ze volledig nieuwe fictieve persona’s. Ze benaderen slachtoffers direct via vacature- en freelanceplatforms of plaatsen daar valse vacatures. Sommige van deze profielen zijn volledig door de aanvallers opgezet, terwijl andere mogelijk gehackte profielen van echte personen zijn, die door de aanvallers zijn aangepast.

De interacties vinden plaats op zowel algemene vacatureplatforms als platforms die zich richten op cryptocurrency- en blockchainprojecten, wat beter aansluit bij de doelstellingen van de aanvallers. Tot de gebruikte platforms behoren onder andere LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight en Crypto Jobs List.

Slachtoffers ontvangen de projectbestanden via directe bestandsoverdracht op de site of via een link naar repositories zoals GitHub, GitLab of Bitbucket. Ze krijgen de instructie om de bestanden te downloaden, functies toe te voegen of bugs te verhelpen en vervolgens hun resultaten terug te koppelen aan de recruiter. Daarbij moeten ze het project bouwen en uitvoeren, wat leidt tot de initiële infectie.

Een slimme techniek die de aanvallers toepassen om hun kwaadaardige code te verbergen, is het plaatsen van de malware in een verder legitiem component van het project. Vaak wordt de code toegevoegd in de backend, buiten het zicht van de ontwikkelaar, door deze achter een lange commentaarregel te verbergen. Hierdoor blijft de schadelijke code grotendeels onopgemerkt.

“De DeceptiveDevelopment-cluster voegt zich bij de al lange lijst van geldgenererende operaties door Noord-Korea-gelieerde actoren en sluit aan bij de trend van verschuiving van traditionele valuta naar cryptovaluta,” concludeert Havránek.

Voor een gedetailleerde analyse en technische uitleg over DeceptiveDevelopment, lees de nieuwste ESET Research-blogpost, “DeceptiveDevelopment targets freelance developers”, op WeLiveSecurity.com. Volg ESET Research op X voor het laatste nieuws.

Over ESET

ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en diensten zijn zeer effectief en gebruiksvriendelijk. ESET’s bekroonde technologie bevat robuuste detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig onderzoek en betrouwbare dreigingsintelligentie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.