Lập trình viên tự do trở thành mục tiêu của tin tặc

Theo TechRadar, các chuyên gia an ninh mạng từ ESET đã phát hiện một chiến dịch mới có tên DeceptiveDevelopment từ các nhóm tin tặc được cho từ Triều Tiên. Các nhóm sẽ này giả danh nhà tuyển dụng trên mạng xã hội để tiếp cận các lập trình viên tự do, đặc biệt là những người đang làm việc với các dự án liên quan đến tiền mã hóa.

Mục tiêu chính của chiến dịch này là đánh cắp tiền mã hóa, tin tặc sẽ sao chép hoặc tạo hồ sơ giả mạo của các nhà tuyển dụng và liên hệ với lập trình viên thông qua các nền tảng tuyển dụng như LinkedIn, Upwork, hay Freelancer.com. Chúng sẽ mời lập trình viên tham gia một bài kiểm tra kỹ năng lập trình như một điều kiện để được tuyển dụng.

Những bài kiểm tra này thường xoay quanh các dự án về tiền mã hóa, trò chơi có tích hợp blockchain hoặc các nền tảng cờ bạc sử dụng tiền mã hóa. Các tập tin của bài kiểm tra được lưu trữ trên các kho lưu trữ riêng tư như GitHub. Khi nạn nhân tải xuống và chạy dự án, phần mềm độc hại có tên BeaverTail sẽ được kích hoạt.

Tin tặc thường không chỉnh sửa nhiều trong mã nguồn của dự án gốc mà chỉ thêm mã độc vào những vị trí khó phát hiện, chẳng hạn như trong mã nguồn máy chủ (backend) hoặc ẩn trong các dòng chú thích. Khi được thực thi, BeaverTail sẽ tìm cách trích xuất dữ liệu từ trình duyệt để đánh cắp thông tin đăng nhập, đồng thời tải xuống một phần mềm độc hại thứ hai có tên InvisibleFerret. Phần mềm này hoạt động như một cửa hậu (backdoor), cho phép kẻ tấn công cài đặt AnyDesk – một công cụ quản lý từ xa giúp thực hiện thêm nhiều hoạt động sau khi xâm nhập.

Chiến dịch tấn công này có thể ảnh hưởng đến người dùng trên cả các hệ điều hành Windows, macOS và Linux. Các chuyên gia đã ghi nhận nạn nhân trên toàn cầu, từ các lập trình viên mới vào nghề đến những chuyên gia dày dạn kinh nghiệm. Chiến dịch DeceptiveDevelopment có nhiều điểm tương đồng với Operation DreamJob, một chiến dịch trước đó của tin tặc nhắm vào nhân viên ngành hàng không vũ trụ và quốc phòng để đánh cắp thông tin mật.