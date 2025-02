Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.

PRAGUE, BRATISLAVA, le 20 février 2025 — Déjà en 2024, les chercheurs d'ESET ont observé une série d'activités malveillantes liées à la Corée du Nord, où les opérateurs, se faisant passer pour des recruteurs de développeurs de logiciels, attirent les victimes avec de fausses offres d'emploi. Ensuite, ils tentent de fournir à leurs cibles des projets logiciels qui dissimulent des maliciels de vol d'informations. ESET Research a appelé ce groupe d'activités DeceptiveDevelopment. Cette activité liée à la Corée du Nord n'est actuellement attribuée par ESET à aucun acteur de menace connu.« Dans le cadre d’un faux entretien d’embauche, les opérateurs de DeceptiveDevelopment demandent à leurs cibles d’effectuer un test de codage, tel que l’ajout d’une fonctionnalité à un projet existant. Les fichiers nécessaires à la tâche sont généralement hébergés sur des référentiels privés sur GitHub ou autres plateformes similaires. Mais ces fichiers sont trojanisés : une fois téléchargés et exécutés, l’ordinateur de la victime est compromis », explique Matěj Havránek, le chercheur d’ESET qui a découvert et analysé DeceptiveDevelopment.Les tactiques, techniques et procédures de DeceptiveDevelopment sont similaires à celles d’autres opérations connues liées à la Corée du Nord. Les opérateurs de DeceptiveDevelopment ciblent les développeurs de logiciels sous Windows, Linux et macOS. Ils volent des crypto monnaies pour en tirer un profit financier, avec un éventuel objectif secondaire de cyber espionnage. Pour approcher leurs cibles, ils utilisent de faux profils de recruteurs sur les réseaux sociaux. Les attaquants ne font pas de distinction d’après la situation géographique, mais cherchent à compromettre le plus possible de victimes pour augmenter leurs chances d’extraire des fonds et des informations.Pour ses activités, DeceptiveDevelopment utilise deux familles de maliciels diffusées en deux étapes. Dans la première, BeaverTail (infostealer, téléchargeur) agit comme un voleur de connexion, en extrayant les bases de données des navigateurs contenant les connexions enregistrées, et comme un téléchargeur dans la deuxième étape, InvisibleFerret (infostealer, RAT), qui comprend des composants de logiciels espions et de porte dérobée. Il est capable de télécharger AnyDesk, un logiciel légitime de gestion et de surveillance à distance pour les activités post-compromissionPour se faire passer pour des recruteurs, les attaquants copient des profils de personnes existantes ou créent de nouveaux profils. Ensuite, ils contactent leurs victimes potentielles sur des plateformes de recherche d'emploi et de travail d’indépendant ou y publient de fausses offres d'emploi. Si certains de ces profils sont créés par les attaquants eux-mêmes, d'autres sont des profils déjà compromis de personnes réelles, présentes sur la plateforme et modifiés par les attaquants.Certaines des plateformes utilisées sont des plateformes génériques de recherche d’emploi, tandis que d’autres se concentrent sur les projets de crypto monnaie et de blockchain et sont donc plus en phase avec les objectifs des attaquants. Parmi ces plateformes on trouve LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight et Crypto Jobs List.Les victimes reçoivent directement les fichiers du projet par un transfert de fichiers sur le site ou par un lien vers un référentiel comme GitHub, GitLab ou Bitbucket. On leur demande de télécharger les fichiers, d'ajouter des fonctionnalités ou de corriger des bugs, et de faire un rapport au recruteur. On leur demande aussi de construire et d'exécuter le projet afin de le tester, c’est le premier compromis. Les attaquants utilisent souvent une astuce pour cacher leur code malveillant : ils le placent dans un composant inoffensif du projet, généralement dans un code back-end, sans rapport avec la tâche confiée, où ils l'ajoutent en une seule ligne derrière un long commentaire. Ainsi, il est placé hors écran et reste en grande partie caché.« Le groupe DeceptiveDevelopment s’ajoute à une série déjà longue de stratagèmes lucratifs employés par des acteurs liés à la Corée du Nord et s’inscrit dans une tendance actuelle passant de l’argent traditionnel vers les crypto-monnaies », conclut Havránek.Pour une analyse plus détaillée et technique de DeceptiveDevelopment, consultez le dernier blog d’ ESET Research DeceptiveDevelopment targets freelance developers,” sur WeLiveSecurity.com.Suivez aussi ESET Research on Twitter pour les dernières nouvelles d’ESET Research.À propos d'ESETESET fournit une sécurité numérique de pointe pour prévenir les attaques avant qu'elles ne se produisent. 