Хакерская группировка DeceptiveDevelopment, связанная с Северной Кореей, с 2023 года эволюционировала в изощрённую преступную организацию, целенаправленно нацеленную на финансовую прибыль. Группа действует в тесной связке с организацией WageMole, и её основная жертва — разработчики ПО под Windows, Linux и macOS, особенно те, кто работает с криптовалютами и проектами Web3.
«DeceptiveDevelopment превратилась в изощренную организацию, занимающуюся киберпреступлениями на финансовой почве, по крайней мере, с 2023 года.»
Модель атак: социальная инженерия + компрометация репозиториев
Тактика группы опирается прежде всего на социальную инженерию и эксплуатацию человеческой доверчивости. Среди ключевых приёмов:
- создание поддельных профилей рекрутеров на платформах LinkedIn и Upwork для вербовки специалистов;
- предложение «задач по кодированию», требующих загрузки проектов из скомпрометированных репозиториев на GitHub;
- рассылка материалов, замаскированных под рабочие файлы или учебные задания, чтобы заставить жертву запустить вредоносный код.
Цель — побудить разработчика самостоятельно загрузить и запустить исходный код, содержащий вредоносные компоненты, минуя традиционные векторы заражения.
Основные семейства вредоносного ПО
В арсенале группы — несколько самостоятельных семейств и модулей:
- BeaverTail — начальная стадия заражения, доставляемая через «задачи» и скомпрометированные репозитории;
- OtterCookie и WeaselStore — вспомогательные компоненты для расширения функционала и сбора данных;
- InvisibleFerret — троян удалённого доступа (RAT), ставший ключевым инструментом для управления компрометированными машинами;
- TsunamiKit — новый, более сложный инструментированный набор (введён к концу 2024 года) специально для сбора криптовалюты и конфиденциальной информации.
Эволюция InvisibleFerret и появление TsunamiKit демонстрируют способность группы быстро модифицировать инструментарий в ответ на операционные потребности.
Как происходит компрометация: сценарий атаки
Типичная кампания выглядит так:
- жертве предлагают выполнение «практической» задачи по проекту (под видом интервью или фриланс-задания);
- в рамках задания требуется скачать репозиторий или зависимости с GitHub (или другого хостинга), где уже внедрён BeaverTail;
- после запуска начального модуля злоумышленники разворачивают дополнительные компоненты (OtterCookie, WeaselStore, InvisibleFerret), а затем — TsunamiKit для целенаправленного похищения криптовалюты;
- в отдельных случаях вредоносный модуль содержит ранее неизвестный браузер‑компонент с крупным закодированным сегментом, что усложняет анализ и обнаружение.
Связи между группами и инфраструктурная синергия
Расследование показало переплетение между DeceptiveDevelopment и WageMole: наличие общих учётных записей электронной почты и связанных профилей на GitHub указывает на практическое сотрудничество. Хотя обе структуры работают автономно, обмен инструментарием и информацией повышает их оперативную эффективность и масштаб атак.
Такая синергия объясняет, почему новые компоненты (например, WeaselStore и TsunamiKit) появляются быстро и демонстрируют высокий уровень согласованности в архитектуре вредоносного ПО.
Почему опасность выросла
Ключевые факторы возросшей угрозы:
- ориентация на технический персонал с доступом к ключам и средствам управления криптоактивами;
- использование легкодоступных ресурсов (платформы найма, публичные репозитории) как приманки;
- адаптация инструментов и появление специализированных модулей для кражи криптовалюты;
- высокая доля социальной инженерии в TTP, эксплуатирующая желание заработать или получить рабочий контракт.
Рекомендации для разработчиков и компаний
Чтобы снизить риск компрометации, эксперты рекомендуют:
- проверять подлинность предложений о работе и профилей рекрутеров (кросс‑проверка контактных данных и истории работы);
- никогда не запускать код из неизвестных или неподтверждённых репозиториев без анализа и проверки целостности; использовать sandbox и статический анализ;
- включать многфакторную аутентификацию (MFA) для доступа к ключевым сервисам и репозиториям;
- изолировать рабочие среды разработки от кошельков и средств хранения криптовалют;
- использовать цифровые подписи и проверяемые поставщики зависимостей; регулярно обновлять инструменты безопасности и антивирусные базы;
- обучать сотрудников признакам социальной инженерии и фишинга — особенно при приёме на работу и фриланс‑заказах.
Вывод
DeceptiveDevelopment демонстрирует прагматичный подход к киберпреступности: сочетание психологической эксплуатации человека и адаптивного вредоносного ПО приносит им ощутимые финансовые результаты. Рост сложности их инструментов, появление наборов вроде TsunamiKit и тесное сотрудничество с группами вроде WageMole делают угрозу особенно актуальной для разработчиков и экосистемы Web3.
Организациям и специалистам следует учитывать, что наиболее надёжная защита в данном случае — это не только технические барьеры, но и устойчивость к социальным приёмам: внимательность, процедурная верификация и сегментация рабочих сред остаются первостепенными средствами защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "DeceptiveDevelopment: атаки на разработчиков Web3 и криптовалюты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.