Freiberufliche Softwareentwickler und -entwicklerinnen sind eine neue Zielgruppe von Cyberkriminellen. Experten des Sicherheitsunternehmens Eset zufolge werden Entwickler in der Kampagne "Deceptive Development" vermeintlich von Recruitern angesprochen. Während der Bewerbung werde ihnen Schadcode untergejubelt.

Die Angreifer seien auf Plattformen wie Freelancer.com, Moonlight, Linkedin oder Upwork aktiv auf der Suche nach Mitarbeitenden. Wie die Sicherheitsspezialisten beobachtet haben wollen, würden die Recruiter sowohl Fake-Profile als auch Konten realer Personen nutzen, um die Jobsuchenden in die Falle zu locken.

Nach erfolgreicher Kontaktaufnahme würden die Programmierer zu einem Codierungstest aufgefordert. Dies sei eine gängige Methode, um die Erfahrung von Entwicklern zu prüfen, erklärt Eset. Die bereitgestellten Projektdateien enthielten jedoch versteckte Schadsoftware, wobei es sich nur um eine einzelne Zeile in einer harmlos erscheinenden Komponente des Projekts handeln soll. Sobald die Kandidaten diese Dateien verwenden, wird ihr Computer kompromittiert. Dabei seien sowohl MacOS-, Linux- als auch Windows-Systeme gefährdet.

Den Analysen der Sicherheitsexperten zufolge verwendeten die Angreifer zwei Malware-Typen: Beavertail (Infostealer, Downloader) und Invisibleferret (Spyware, Remote-Access-Trojaner). Ein typischer Angriff laufe in zwei Phasen ab: Nach der Kompromittierung stehle Beavertail Login-Daten aus Webbrowsern und lade Invisibleferret nach. Hiermit könnten die Hacker weitere Daten entwenden. Für weitere Manipulationen würde zusätzlich eine Fernwartungssoftware wie Anydesk installiert.

Über den Fernzugriff würden die Computer der Bewerber gezielt nach Krypto-Wallets durchsucht. "Deceptive Development ist Teil einer grösseren Strategie Nordkoreas, um über Cyberkriminalität an Geld zu kommen", erklärt Eset-Forscher Matěj Havránek in einer Mitteilung. "Die Attacken zeigen einen Trend auf: Kryptowährungen sind mittlerweile ein beliebteres Ziel für Hacker als klassische Währungen."

Laut Havránek ähneln die Angriffsmuster denen bekannter Akteure. Jedoch habe Deceptive Development bis anhin keiner bestimmten Gruppe zugeordnet werden können.