Hackers norte-coreanos estão mirando desenvolvedores freelancers em um golpe de recrutamento para distribuir os malwares BeaverTail e InvisibleFerret. A campanha, chamada DeceptiveDevelopment, busca roubar carteiras de criptomoedas e credenciais de login. Os ataques envolvem perfis falsos de recrutadores em redes sociais, que entram em contato com desenvolvedores e compartilham códigos maliciosos hospedados no GitHub, GitLab ou Bitbucket, disfarçados como testes técnicos para vagas. Além disso, plataformas como Upwork, Freelancer.com e Crypto Jobs List também têm sido usadas para atrair vítimas.

Os códigos maliciosos são inseridos de maneira discreta, muitas vezes como uma única linha dentro de um componente legítimo. Em alguns casos, as vítimas são persuadidas a instalar softwares de videoconferência infectados, como MiroTalk ou FreeConference.

O BeaverTail atua como um downloader para o InvisibleFerret, que possui três módulos principais:

• pay: Coleta informações, captura teclas digitadas, rouba arquivos e instala o AnyDesk.
• bow: Rouba dados de login e pagamento de navegadores como Chrome, Edge, Brave e Opera.
• adc: Mantém a persistência do ataque instalando o AnyDesk para acesso remoto.

Os principais alvos são desenvolvedores de projetos em criptomoedas e finanças descentralizadas, com casos relatados em países como EUA, Rússia, Índia, Espanha e Ucrânia. O grupo Lazarus, ligado ao governo da Coreia do Norte, é apontado como responsável pela operação, que faz parte de um esquema maior para arrecadar fundos ao regime norte-coreano.