Actu
ESET Research découvre DeceptiveDevelopment, un groupe aligné sur la Corée du Nord qui cible les développeurs
février 2025 par ESET
En 2024, ESET a identifié des activités malveillantes liées à la Corée du Nord, nommées DeceptiveDevelopment. Ces attaques ciblent les développeurs via de fausses offres d’emploi. Les cybercriminels se font passer pour des recruteurs et distribuent des logiciels malveillants dissimulés dans des projets. Leur but est de dérober des cryptomonnaies et des données de connexion.
« La stratégie du groupe consiste à faire passer de faux entretiens d’embauche avec des tests de programmation. Les victimes doivent travailler sur des projets hébergés sur GitHub ou des plateformes similaires. Ces fichiers contiennent en réalité des chevaux de Troie qui compromettent l’ordinateur une fois exécutés. », explique Matěj Havránek, chercheur chez ESET, qui a fait la découverte et analysé DeceptiveDevelopment.
Cette opération de DeceptiveDevelopment présente des similitudes avec d’autres, provenant de groupes alignés sur la Corée du nord. Le groupe cible les développeurs sur Windows, Linux et macOS, principalement pour des gains financiers mais aussi potentiellement pour de l’espionnage. Les attaquants utilisent de faux profils de recruteurs sur les réseaux sociaux et visent un maximum de victimes sans restriction géographique.
DeceptiveDevelopment utilise deux types de malwares. D’abord BeaverTail, qui vole les identifiants des navigateurs et télécharge le second malware, InvisibleFerret. Ce dernier combine des fonctions d’espionnage et de porte dérobée, et peut installer AnyDesk pour maintenir l’accès au système compromis.
Les attaquants créent leurs profils de recruteurs soit en copiant des profils existants, soit en créant de toutes pièces de fausses identités. Ils contactent directement leurs cibles sur les plateformes de recrutement ou publient de fausses offres. Certains profils utilisés sont possiblement des comptes légitimes piratés. Les attaques se déroulent sur diverses plateformes, des sites d’emploi généralistes aux plateformes spécialisées en cryptomonnaies. Parmi elles figurent LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight et Crypto Jobs List.
Les victimes reçoivent les fichiers malveillants soit directement, soit via des liens vers des dépôts comme GitHub. On leur demande de modifier le code et de tester le projet, ce qui déclenche l’infection. Les attaquants cachent habilement leur code malveillant dans le backend, souvent sur une seule ligne après un long commentaire, le rendant difficile à repérer.
« DeceptiveDevelopment s’inscrit dans la tendance des groupes alignés sur la Corée du nord à privilégier les cryptomonnaies comme source de revenus illégaux. », conclut Havránek.
