Selon des chercheurs en sécurité, des cybercriminels se faisant passer pour des recruteurs repèrent des développeurs freelance sur des plateformes de travail et de recrutement, allant de LinkedIn à GitLab, GitHub ou Bitbucket. Sous prétexte d’un “test technique” ou d’une mise à jour de code, ils fournissent un projet hébergé sur un dépôt privé. Le code est en réalité vérolé, et une fois l’exécutable compilé et lancé par la victime, l’ordinateur est compromis. Baptisée “DeceptiveDevelopment”, cette campagne serait liée à la Corée du Nord.
Les assaillants ciblent les utilisateurs des principaux systèmes d’exploitation (Windows, Linux et macOS), espérant surtout dérober des cryptomonnaies ou, à défaut, des informations confidentielles. Pour donner le change, ils usurpent des profils de recruteurs ou de professionnels légitimes, en profitant parfois de comptes déjà compromis, pour poster de fausses offres ou aborder directement leurs cibles.
Le projet malveillant, découvert par des chercheurs de l’éditeur ESET, contient un premier module (BeaverTail) capable d’aspirer les identifiants stockés dans les navigateurs et de déployer un second module (InvisibleFerret), qui agit comme un logiciel espion et une porte dérobée. Les attaquants peuvent alors installer discrètement un outil de prise de contrôle à distance (AnyDesk) pour assurer un suivi post-compromission.
Le stratagème s’appuie sur la curiosité et la bonne foi de développeurs, souvent indépendants, qui pensent répondre à une offre réelle. Les consignes leur demandent de récupérer les fichiers (via un dépôt Git ou un partage sur une plateforme de freelancing), d’ajouter une fonctionnalité ou de corriger un bogue, puis de compiler et d’exécuter le résultat pour le tester. Les attaquants insèrent généralement leur charge malveillante en bas d’un fichier, dissimulée derrière un long commentaire ou dans une partie de code jugée secondaire.
Pour une analyse technique détaillée de cette campagne et des indicateurs de compromission, vous pouvez consulter l’article complet intitulé “DeceptiveDevelopment targets freelance developers” publié sur WeLiveSecurity.
