朝鲜虚假招聘活动窃取开发者数据供给IT工人

根据ESET的报告，朝鲜威胁行为者通过DeceptiveDevelopment活动窃取开发者信息，并将其提供给该国大量的欺诈IT工人使用。

这项自2023年持续至今的DeceptiveDevelopment活动，最初在2月份被详细披露，主要针对与加密货币和去中心化金融项目相关的开发者，通过虚假工作机会进行信息窃取和恶意软件感染。

攻击手法与相似活动

与"Operation Dream Job"、“Contagious Interview"和"ClickFake Interview"类似，DeceptiveDevelopment依赖在LinkedIn、Upwork、Freelancer.com等流行平台上发布虚假公告来引诱开发者。

在这些攻击中，当目标受害者与虚假招聘者接触后，会被邀请参加面试，在面试过程中被诱骗在其系统上执行恶意软件。

由于大多数攻击针对加密货币开发者，先前研究怀疑这些攻击的目的是通过窃取受害者的加密货币资产或渗透其所在组织来获取经济利益。

根据ESET的说法，这些活动还服务于第二个目的：虚假招聘者收集开发者身份信息，并将其交给与朝鲜欺诈IT工人相关的组织，这些组织利用这些信息冒充求职者，在不知情的公司获得远程工作。

ESET指出：“为了获得真实的工作职位，他们可能采用多种策略，包括代理面试、使用被盗身份以及使用AI驱动工具伪造合成身份。”

通过社会工程和虚假招聘者资料，DeceptiveDevelopment背后的威胁行为者提供虚假的高薪工作机会，旨在用BeaverTail、InvisibleFerret和OtterCookie等恶意软件感染受害者系统。

去年，攻击者被发现使用WeaselStore（一种信息窃取程序和后门，也称为GolangGhost和FlexibleFerret）、其Python变体PylangGhost，以及TsunamiKit - 一种复杂的.NET间谍软件，还会投放加密货币矿工。

今年4月，该威胁行为者被发现部署了Tropidoor，该恶意软件与Lazarus的PostNapTea RAT共享大量代码。8月，出现了Akdoor的变体AkdoorTea。

ESET对DeceptiveDevelopment的调查揭示了与朝鲜欺诈IT工人网络的紧密合作，该网络安全公司将其追踪为WageMole。

该网络安全公司在一份研究论文中指出：“尽管这些活动由两个不同的组织进行，但它们很可能相互联系并协作。”

这些IT工人以团队形式运作，专注于在西方国家（主要是美国）获得工作。在欧洲，他们针对法国、波兰、乌克兰和阿尔巴尼亚。

ESET指出：“每个团队都有一个专门的’老板’ - 负责监督团队运营、为团队成员设定配额并协调他们工作的领导者。成员有许多职责：获取工作、完成工作任务以及自我教育以提高技能。”

该网络安全公司表示，朝鲜IT工人不仅专注于寻找编程工作。其中一些人涉足土木工程和建筑领域，冒充真实公司和工程师，制作带有伪造批准印章的工程图纸。

ESET表示：“他们还专注于自我教育，并报告研究免费在线材料和教程网站，主要关注网络编程、区块链、英语，以及近年来AI与各种网络应用的集成。”