• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Sara Assicurazioni migra sul multicloud con Megaport
    • Integrity360 acquisisce Holiseum, Adsigo e Nclose
    • Adozione dell’AI: crescita vertiginosa tra gli impiegati
    • La sicurezza del cloud rimane tra le priorità principali delle aziende
    • AWS Security Hub: SentinelOne è partner promotore
    • Spionaggio e cybercrime si sovrappongono. La scoperta di Proofpoint
    • Imprese italiane e l’evoluzione delle minacce informatiche
    • L’Iran e le operazioni cyber che minacciano il mondo
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»DeceptiveDevelopment: il cluster di attacco nordcoreano scovato da ESET

    DeceptiveDevelopment: il cluster di attacco nordcoreano scovato da ESET

    By Redazione LineaEDP25/02/2025Updated:25/02/20253 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    I bersagli di DeceptiveDevelopment sono sviluppatori freelance iscritti a piattaforme per freelance o su siti di ricerca lavoro. I dettagli della campagna, nell’articolo

    DeceptiveDevelopment

    Dal 2024, i ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno osservato una serie di attività malevole riconducibili alla Corea del Nord, in cui gli attaccanti, fingendosi recruiter nel settore dello sviluppo software, attirano le vittime con false offerte di lavoro. Successivamente, le inducono a scaricare progetti software che nascondono malware progettati per il furto di informazioni. ESET Research ha denominato questo cluster di attacco DeceptiveDevelopment. Sebbene sia riconducibile alla Corea del Nord, ESET non lo attribuisce attualmente a nessun attore delle minacce noto. L’obiettivo sono sviluppatori software freelance, presi di mira attraverso attacchi di spearphishing su siti di ricerca lavoro e piattaforme per freelance, con lo scopo di sottrarre portafogli di criptovalute e credenziali di accesso da browser e gestori di password.

    Il modus operandi di DeceptiveDevelopment

    Le tattiche, tecniche e procedure di DeceptiveDevelopment sono simili a quelle di altre operazioni note riconducibili alla Corea del Nord. Gli attaccanti prendono di mira sviluppatori su Windows, Linux e macOS, con l’obiettivo primario di rubare criptovalute per fini economici, e con una possibile finalità secondaria di spionaggio informatico. Per entrare in contatto con le vittime, gli operatori creano profili falsi di recruiter sui social media. L’attacco non è mirato a una specifica area geografica, ma punta a compromettere il maggior numero possibile di vittime, aumentando così le probabilità di sottrarre fondi e informazioni.

    DeceptiveDevelopment utilizza principalmente due famiglie di malware, distribuite in due fasi. Nella prima fase, BeaverTail (infostealer, downloader) estrae i database dei browser contenenti credenziali salvate e funge da downloader per la seconda fase, InvisibleFerret (infostealer, RAT). Quest’ultimo include componenti spyware e backdoor ed è in grado di scaricare il software di gestione remota AnyDesk per attività post-compromissione.

    Per fingersi recruiter, gli attaccanti copiano i profili di persone reali o ne creano di nuovi. Successivamente, contattano direttamente le vittime su siti di ricerca lavoro e piattaforme per lavoratori autonomi, oppure pubblicano annunci di lavoro falsi. Alcuni profili vengono creati ex novo, mentre altri appartengono a persone reali, i cui account sono stati compromessi e modificati.

    Le interazioni avvengono su piattaforme di ricerca lavoro generiche e su portali specializzati in criptovalute e blockchain, più in linea con gli obiettivi degli attaccanti. Tra i siti utilizzati figurano LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight e Crypto Jobs List.

    Le vittime ricevono i file del progetto direttamente tramite trasferimento sulla piattaforma o attraverso un link a repository come GitHub, GitLab o Bitbucket. Viene chiesto loro di scaricare i file, aggiungere funzionalità o correggere bug e di testare il progetto eseguendolo, momento in cui avviene la compromissione. Gli attaccanti impiegano un metodo subdolo per nascondere il codice malevolo: lo inseriscono in una componente apparentemente innocua del progetto, spesso nel codice backend non direttamente collegato al compito assegnato, aggiungendolo come una singola riga dietro un lungo commento, in modo che resti fuori dallo schermo e passi inosservato.

    Dichiarazioni

    “Come parte di un finto processo di selezione, gli operatori di DeceptiveDevelopment chiedono alle vittime di completare un test di programmazione, ad esempio aggiungendo una funzionalità a un progetto esistente. I file necessari per il compito sono solitamente ospitati su repository privati su GitHub o piattaforme simili. Sfortunatamente per il candidato, questi file contengono codice malevolo: una volta scaricato ed eseguito il progetto, il computer della vittima viene compromesso”, spiega Matěj Havránek, ricercatore di ESET che ha scoperto e analizzato DeceptiveDevelopment. “Questo cluster si aggiunge alla già ampia gamma di schemi finanziari utilizzati dagli attori allineati alla Corea del Nord e conferma il trend di spostamento dal denaro tradizionale alle criptovalute”.

    cluster cybersecurity Eset minacce informatiche spearphishing
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Sara Assicurazioni migra sul multicloud con Megaport

    01/07/2025

    Integrity360 acquisisce Holiseum, Adsigo e Nclose

    01/07/2025

    Adozione dell’AI: crescita vertiginosa tra gli impiegati

    01/07/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    ExpertBook P5, il notebook con l’AI integrata
    La tua fabbrica è resiliente?
    Legrand Data Center al Data Center Nation per parlare del data center del futuro!
    Snom: focus su tecnologia e partner
    Cumulabilità Transizione 5.0 e ZES: i vantaggi del Litio
    Defence Tech

    La sicurezza del cloud rimane tra le priorità principali delle aziende

    01/07/2025

    Spionaggio e cybercrime si sovrappongono. La scoperta di Proofpoint

    01/07/2025

    Imprese italiane e l’evoluzione delle minacce informatiche

    30/06/2025

    L’Iran e le operazioni cyber che minacciano il mondo

    30/06/2025
    Report

    Adozione dell’AI: crescita vertiginosa tra gli impiegati

    01/07/2025

    Intelligenza Artificiale al centro delle operazioni IT

    27/06/2025

    Data Center in Italia in espansione, ma non sottovalutiamo le sfide

    24/06/2025

    IA quantistica: la nuova rivoluzione dell’Intelligenza Artificiale

    19/06/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.