针对软件自由开发者的网络攻击活动——DeceptiveDevelopment

近期，ESET研究团队发现了一起针对自由软件开发者的网络攻击活动，代号为“DeceptiveDevelopment”。该攻击活动疑似由朝鲜相关的网络犯罪分子发起，主要通过伪装成招聘人员，利用虚假的工作机会引诱受害者，进而传播恶意软件，窃取加密货币钱包信息以及浏览器和密码管理器中的登录信息。

自2023年11月以来，DeceptiveDevelopment攻击活动一直活跃至今。该攻击活动主要针对全球范围内的自由软件开发者，尤其是那些参与加密货币和去中心化金融项目的专业人士。攻击者通过在招聘和自由职业网站上发布虚假招聘信息或直接联系受害者，诱导他们参与所谓的“编程测试”或“修复漏洞任务”，并提供带有恶意代码的项目文件。一旦受害者下载并执行这些文件，其计算机就会被植入初始阶段的恶意软件——BeaverTail。

二、技术分析

DeceptiveDevelopment攻击活动主要涉及两种恶意软件家族：BeaverTail（信息窃取器和下载器）和InvisibleFerret（信息窃取器和远程访问木马）。以下是该活动的技术分析细节：

（1）初始入侵

• 攻击者通过创建虚假的招聘人员资料，在LinkedIn、Upwork、Freelancer.com等招聘和自由职业网站上发布虚假招聘信息或直接联系目标受害者。
• 他们以“招聘挑战”或“修复漏洞任务”为由，向受害者提供带有恶意代码的项目文件。这些文件通常托管在GitHub、GitLab或Bitbucket等平台的私有仓库中。
• 受害者被要求下载文件、添加功能或修复漏洞，并在执行项目时触发初始入侵。恶意代码通常被隐藏在项目中，通过长注释将代码推到屏幕外，使其难以被发现。

（2）恶意软件分析

• BeaverTail：作为初始阶段的恶意软件，BeaverTail用于窃取浏览器保存的登录信息和加密货币钱包数据，并下载第二阶段的恶意软件——InvisibleFerret。
• InvisibleFerret：这是一款模块化的Python恶意软件，具有信息窃取和远程控制功能。它包括主模块、负载模块、浏览器模块和AnyDesk模块，能够窃取浏览器数据、执行远程命令，并通过AnyDesk实现持久化访问。

（3）网络基础设施

• DeceptiveDevelopment的C2（命令与控制）服务器主要由商业托管提供商托管，使用的端口包括1224、1244和1245等非标准端口。
• 该活动的C2服务器通过HTTP和TCP套接字与受感染系统通信，用于数据窃取和恶意软件模块的分发。

DeceptiveDevelopment攻击活动展示了网络犯罪分子如何利用招聘平台和自由职业者的信任来传播恶意软件。研究人员提醒自由软件开发者在参与在线招聘和项目合作时保持警惕，避免下载和执行未经验证的项目文件。此外，建议开发者使用安全工具和反病毒软件来检测和防范此类攻击。

原文始发于微信公众号（白泽安全实验室）：针对软件自由开发者的网络攻击活动——“DeceptiveDevelopment”