Los investigadores de ESET han identificado una nueva campaña de ciberataques dirigida a desarrolladores de software freelance, en la que los atacantes, haciéndose pasar por reclutadores, utilizan ofertas de trabajo falsas para distribuir malware mediante spearphishing en plataformas de búsqueda de empleo y trabajo autónomo. Esta operación, bautizada como DeceptiveDevelopment, tiene como objetivo robar credenciales de inicio de sesión y monederos de criptomonedas a través de proyectos de software infectados. Si bien las actividades observadas están alineadas con tácticas previamente asociadas a Corea del Norte, hasta el momento ESET no ha atribuido la campaña a ningún grupo de amenazas conocido.
"Como parte de un falso proceso de entrevista de trabajo, los operadores de DeceptiveDevelopment solicitan a sus objetivos que realicen una prueba de programación, como agregar una función a un proyecto existente. Los archivos necesarios para la tarea suelen estar alojados en repositorios privados en GitHub u otras plataformas similares. Lamentablemente, para el candidato entusiasmado por la oportunidad, estos archivos están troyanizados: una vez que descarga y ejecuta el proyecto, su ordenador queda comprometido", explica Matěj Havránek, investigador de ESET que descubrió y analizó la operación DeceptiveDevelopment.
Las tácticas, técnicas y procedimientos de DeceptiveDevelopment son similares a los de otras operaciones conocidas alineadas con Corea del Norte. Los atacantes detrás de esta campaña utilizan falsas ofertas de empleo para atacar a desarrolladores de software en Windows, Linux y macOS con el objetivo principal de robar criptomonedas, aunque también podría tener fines de ciberespionaje. Haciéndose pasar por reclutadores en redes sociales, no se limitan a una región geográfica específica, sino que buscan maximizar el número de víctimas para aumentar sus posibilidades de éxito en la extracción de fondos e información.
Para comprometer los dispositivos, la campaña emplea dos tipos de malware en distintas fases, según los investigadores de ESET. En la primera, BeaverTail, un infostealer y downloader, roba credenciales almacenadas en navegadores y descarga el malware de la segunda etapa. En la segunda, InvisibleFerret, un infostealer y troyano de acceso remoto (RAT), permite a los atacantes mantener el control del sistema comprometido y desplegar herramientas adicionales como el software legítimo de gestión remota AnyDesk, facilitando su acceso para llevar a cabo actividades posteriores al compromiso del dispositivo.
Los atacantes detrás de DeceptiveDevelopment se hacen pasar por reclutadores con identidades falsas o perfiles comprometidos para engañar a desarrolladores en plataformas de empleo como LinkedIn, Upwork y Freelancer.com, así como en sitios especializados en criptomonedas y blockchain. A través de ofertas fraudulentas, les envían proyectos alojados en GitHub, GitLab o Bitbucket y les solicitan modificaciones, momento en el que ocurre la infección. Para evitar ser detectados, ocultan el código malicioso dentro de componentes inofensivos, camuflándolo en comentarios largos para que pase desapercibido en los editores de código.
Casos previos en España confirman la efectividad de estas tácticas
El uso de falsas ofertas de empleo como señuelo para distribuir malware no es una estrategia nueva. Casos como el ataque a una empresa española del sector aeroespacial acontecido en 2022 demuestran que este tipo de campañas siguen siendo efectivas para que ciertos grupos APT consigan sus objetivos. Tal y como lo analizó ESET durante la Operación DreamJob, los atacantes explotan la confianza en entornos profesionales como LinkedIn y plataformas de trabajo freelance, donde las víctimas pueden bajar la guardia ante ofertas laborales atractivas.
"Las campañas como DeceptiveDevelopment nos recuerdan que los ciberdelincuentes continúan perfeccionando sus métodos para engañar a profesionales de sectores estratégicos, y se suma a la ya extensa lista de estrategias utilizadas por actores alineados con Corea del Norte para generar ingresos. Además, sigue la tendencia creciente de cambiar el enfoque del dinero tradicional hacia las criptomonedas. En España, ya hemos visto incidentes similares dirigidos a empresas clave, lo que refuerza la importancia de verificar la autenticidad de cualquier oferta de trabajo y extremar las precauciones al compartir información o descargar archivos en estos contextos", advierte Josep Albors, director de investigación y concienciación de ESET España.
Mapa de calor de las diferentes víctimas de DeceptiveDevelopment