Angriff auf freiberufliche Entwickler : Gefährliche Malware statt attraktive Jobs

Die Angreifer geben sich in sozialen Netzwerken als Personalvermittler aus, um gezielt mit potenziellen Opfern in Kontakt zu treten. Sie stellen manipulierte Codeprojekte auf Plattformen wie GitHub, GitLab oder Bitbucket bereit, die mit versteckten Hintertüren ausgestattet sind. Diese Projekte wirken auf den ersten Blick wie legitime Aufgaben im Rahmen eines Vorstellungsgesprächs. Mit der Zeit haben die Hacker ihre Aktivitäten auf weitere Job-Plattformen wie Upwork, Freelancer.com, We Work Remotely, Moonlight und Crypto Jobs List ausgeweitet. Die gestellten Aufgaben scheinen harmlos – meist geht es darum, Fehler in einem Code zu beheben oder neue Funktionen für ein Kryptowährungsprojekt zu entwickeln.

Aber es müssen nicht immer solche Code-Tests sein. Sehr gern tarnen sich die infizierten Projekte auch als Kryptowährungs-Apps, blockchainbasierte Spiele oder Glücksspielanwendungen mit Krypto-Funktionen. Häufig ist der Schadcode in einer harmlos wirkenden Komponente versteckt und besteht lediglich aus einer einzigen Codezeile. „Zusätzlich werden die Opfer aufgefordert, das Projekt selbst zu kompilieren und auszuführen, um es zu testen – genau in diesem Moment findet die erste Infektion statt“, erklärt der Sicherheitsexperte Matěj Havránek. „Die verwendeten Repositories sind größtenteils privat, sodass das Opfer zunächst seine Kontodaten oder E-Mail-Adresse angeben muss, um Zugriff zu erhalten. Das erschwert die Untersuchung der Aktivitäten immens.“

Eine weitere Methode der Angreifer besteht darin, ihre Opfer dazu zu bringen, eine mit Schadsoftware infizierte Videokonferenzsoftware wie MiroTalk oder FreeConference zu installieren.

Funktionsweise der Schadsoftware

Sowohl BeaverTail als auch InvisibleFerret sind darauf ausgelegt, Informationen zu stehlen. Dabei fungiert BeaverTail als Downloader für InvisibleFerret.  BeaverTail existiert in zwei Varianten:

• Eine JavaScript-Version, die sich in den manipulierten Projekten verstecken kann.
• Eine native Version, die mit der Qt-Plattform entwickelt wurde und als harmlose Konferenzsoftware getarnt ist.

InvisibleFerret: Modulare Python-Schadsoftware mit umfangreichen Spionagefunktionen

InvisibleFerret ist eine modulare Schadsoftware, die in Python geschrieben wurde und drei zusätzliche Komponenten nachlädt und ausführt:

• pay: Diese Komponente sammelt Informationen und dient als Backdoor, die Fernbefehle von einem durch Angreifer kontrollierten Server empfangen kann. Dazu gehören das Aufzeichnen von Tastatureingaben, das Erfassen von Zwischenablagen, das Ausführen von Shell-Befehlen, das Exfiltrieren von Dateien und Daten von eingebundenen Laufwerken sowie die Installation des AnyDesk-Fernwartungstools und eines Browser-Moduls. Zudem werden Daten aus Browser-Erweiterungen und Passwortmanagern gesammelt.
• bow: Diese Komponente ist für den Diebstahl von Anmeldedaten, automatisch ausgefüllten Daten und Zahlungsinformationen aus Chromium-basierten Browsern wie Chrome, Brave, Opera, Yandex und Edge verantwortlich.
• adc: Diese Komponente sorgt für die Persistenz der Schadsoftware, indem sie die Fernwartungssoftware AnyDesk installiert.

Hauptziele der Kampagne

Laut ESET sind die Hauptziele der Angriffe Softwareentwickler, die an Kryptowährungs- und DeFi-Projekten (dezentrale Finanzsysteme) weltweit arbeiten. Besonders viele Angriffe wurden in Finnland, Indien, Italien, Pakistan, Spanien, Südafrika, Russland, der Ukraine und den Vereinigten Staaten beobachtet. „Die Angreifer machen keinen Unterschied zwischen geografischen Standorten und versuchen, so viele Opfer wie möglich zu kompromittieren, um die Wahrscheinlichkeit eines erfolgreichen Diebstahls von Geldern und Informationen zu erhöhen“, so ESET.

Mangelhafte Tarnung und Verbindungen zu anderen nordkoreanischen Cyberkampagnen

Die Täter scheinen sich nicht besonders um Tarnung zu bemühen, was sich in nachlässigen Programmierpraktiken zeigt. Dazu gehören nicht entfernte Entwicklungsnotizen und die Nutzung lokaler IP-Adressen für Entwicklung und Tests. Die Methode, gefälschte Vorstellungsgespräche als Köder einzusetzen, ist eine bekannte Taktik nordkoreanischer Hackergruppen. Besonders auffällig ist die Verbindung zu der langjährigen Cyberkampagne Operation Dream Job.

Weiterhin gibt es Hinweise darauf, dass die Täter auch in einem großangelegten Betrug mit fingierten IT-Arbeitsverhältnissen involviert sind. Dabei bewerben sich nordkoreanische Staatsbürger mit gefälschten Identitäten auf internationale Stellen, um reguläre Gehälter zu beziehen und so das nordkoreanische Regime finanziell zu unterstützen. Ein auffälliges Indiz für diese Verbindungen sind GitHub-Konten der Angreifer, die sowohl mit gefälschten Lebensläufen nordkoreanischer IT-Arbeiter als auch mit betrügerischen Projekten in Verbindung stehen. Einige dieser GitHub-Seiten wurden mittlerweile entfernt.

Entwicklung der Angriffsmethoden

ESET betont, dass DeceptiveDevelopment ein weiteres Beispiel für die wachsende Vielfalt an Geldbeschaffungsmethoden nordkoreanischer Hackergruppen ist. Der Trend geht dabei zunehmend weg von traditionellen Geldquellen hin zu Kryptowährungen. „Während unserer Untersuchung konnten wir beobachten, dass die Angreifer von primitiven Werkzeugen und Techniken zu fortgeschrittenerer und leistungsfähigerer Schadsoftware übergegangen sind. Gleichzeitig haben sie ihre Methoden verfeinert, um Opfer effektiver zu ködern und ihre Malware gezielt zu verbreiten“, erklärte ESET.

Diese ausgefeilte Betrugsmasche zeigt, wie weit Cyberkriminelle gehen, um gezielt Einzelpersonen anzugreifen und Kryptowährungen zu stehlen. Freiberufliche Entwickler sollten daher besonders vorsichtig sein, wenn sie auf Jobangebote von unbekannten Personen reagieren oder Code aus unbekannten Quellen ausführen.

Weitere Artikel:

Mit angezogener Handbremse

Schlafender Unhold: Neue Angriffsmethode Sleepy Pickle bedroht Machine-Learning-Modelle