Anasayfa » Uncategorized » Serbest çalışan yazılımcılar hedefte

Serbest çalışan yazılımcılar hedefte

Siber güvenlik şirketi ESET, Kuzey Kore temaslı DeceptiveDevelopment’ın bilgi hırsızları ve özgür çalışan geliştiricileri maksat aldığını keşfetti.

DeceptiveDevelopment, iş bulma ve özgür çalışma sitelerinde  bir toplumsal mühendislik taarruz tipi olan spearphishing yoluyla özgür çalışan yazılım geliştiricileri amaç alıyor ve tarayıcılardan ve parola yöneticilerinden kripto para cüzdanlarını ve giriş bilgilerini çalmayı amaçlıyor. DeceptiveDevelopment’ın farklı ülkelerde tuzağa düşürdüğü kurbanlarının bulunduğu ülkeler ortasında Türkiye’de yer alıyor. 

 

ESET , 2024’ten bu yana Kuzey Kore kontaklı bir dizi makus niyetli faaliyet gözlemledi. Bu faaliyetlerde yazılım geliştirme alanında çalışan bireyler üzere davranan operatörler, kurbanları düzmece iş teklifleriyle kandırıyor. Daha sonra, bilgi hırsızlığı yapan berbat hedefli yazılımları gizleyen yazılım projeleriyle amaçlarına hizmet etmeye çalışıyorlar. ESET Research bu faaliyeti DeceptiveDevelopment kümesi olarak isimlendiriyor. Kuzey Kore ilişkili bu faaliyet şu anda ESET tarafından bilinen rastgele bir tehdit aktörüne atfedilmiyor. İş bulma ve hür çalışma sitelerinde amaç şaşırtma yoluyla özgür çalışan yazılım geliştiricileri amaç alıyor. Kripto para cüzdanlarını,  tarayıcılardan ve parola yöneticilerinden giriş bilgilerini çalmayı amaçlıyor.

 

DeceptiveDevelopment’ı keşfeden ve tahlil eden ESET araştırmacısı Matěj Havránek  şu açıklamayı yaptı: “Sahte iş görüşmesi sürecinin bir kesimi olarak, DeceptiveDevelopment operatörleri maksatlarından mevcut bir projeye bir özellik eklemek üzere bir kodlama testi yapmalarını istiyor ve vazife için gerekli evraklar çoklukla GitHub yahut öbür emsal platformlardaki özel depolarda barındırılıyor. Ne yazık ki istekli iş adayı için bu belgeler truva atına dönüştürülmüştür: Projeyi indirip çalıştırdıklarında kurbanın bilgisayarı tehlikeye giriyor. DeceptiveDevelopment kümesi, Kuzey Kore’ye bağlı aktörler tarafından halihazırda kullanılan geniş bir para kazanma planları koleksiyonuna bir ektir ve odağı klasik paradan kripto para ünitelerine kaydırma eğilimine uymaktadır.”

 

DeceptiveDevelopment’ın taktikleri, teknikleri ve prosedürleri Kuzey Kore’ye bağlı olduğu bilinen öbür kimi operasyonlarla benzerlik gösteriyor. DeceptiveDevelopment’ın gerisindeki operatörler Windows, Linux ve macOS üzerindeki yazılım geliştiricilerini gaye alıyor. Kripto para ünitesini öncelikle finansal çıkar için çalıyorlar, muhtemel bir ikincil gayeleri da siber casusluk. Bu operatörler maksatlarına yaklaşmak için toplumsal medyada uydurma işe alım profilleri kullanıyor. Saldırganlar coğrafik pozisyona nazaran ayrım yapmazlar, bunun yerine başarılı bir formda fon ve bilgi elde etme mümkünlüğünü artırmak için mümkün olduğunca çok sayıda kurbanı tehlikeye atmayı amaçlarlar.

 

DeceptiveDevelopment, faaliyetlerinin bir modülü olarak öncelikle iki evrede sunulan iki berbat emelli yazılım ailesi kullanır. Birinci kademede, BeaverTail (bilgi hırsızı, indirici) kolay bir oturum açma hırsızı olarak hareket eder, kayıtlı oturum açma bilgilerini içeren tarayıcı data tabanlarını çıkarır. İkinci basamak için bir indirici olarak, casus yazılım ve art kapı bileşenleri içeren InvisibleFerret (bilgi hırsızı, RAT) ve ayrıyeten uzlaşma sonrası faaliyetler için yasal AnyDesk uzaktan idare ve izleme yazılımını indirebilir. 

 

Saldırganlar, işe alım vazifelisi üzere davranmak için mevcut şahısların profillerini kopyalamakta ve hatta yeni kişilikler oluşturmaktadır. Daha sonra potansiyel kurbanlarına iş arama ve hür çalışma platformlarında direkt yaklaşıyor ya da buralarda uydurma iş ilanları yayımlıyorlar. Bu profillerden kimileri saldırganların kendileri tarafından oluşturulurken başkaları de platformdaki gerçek bireylerin saldırganlar tarafından değiştirilmiş potansiyel olarak tehlikeye atılmış profilleridir.

 

Bu etkileşimlerin gerçekleştiği platformlardan kimileri genel iş arama platformları iken öbürleri öncelikle kripto para ünitesi ve blok zinciri projelerine odaklanıyor ve bu nedenle saldırganların maksatlarına daha uygun. Bu platformlar ortasında LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight ve Crypto Jobs List yer alıyor.

 

Mağdurlar proje belgelerini ya direkt sitedeki belge transferi yoluyla ya da GitHub, GitLab yahut Bitbucket üzere bir depoya ilişki yoluyla alırlar. Evrakları indirmeleri, özellikler eklemeleri yahut yanlışları düzeltmeleri ve işe alan bireye geri bildirimde bulunmaları istenir. Ek olarak, test etmek için projeyi oluşturmaları ve yürütmeleri talimatı verilir, bu da birinci tehlikenin gerçekleştiği yerdir. Saldırganlar çoklukla berbat emelli kodlarını gizlemek için akla yatkın bir numara kullanırlar: Kodu, çoklukla geliştiriciye verilen misyonla ilgisi olmayan art uç kodu içinde, projenin öteki türlü zararsız bir bileşenine yerleştirir ve uzun bir yorumun gerisine tek bir satır olarak eklerler. Bu biçimde, ekranın dışına taşınır ve çoğunlukla kapalı kalır.

Kaynak: (BYZHA) Beyaz Haber Ajansı

İlginizi Çekebilir:Kemer’de pedallar dostluk için döndü
Şubat 21, 2025Etiketler: , , , ,
share Paylaş facebook pinterest whatsapp x print

Benzer İçerikler

CMF’den GaN teknolojisiyle donatılmış iki yeni nesil hızlı şarj adaptörü Nisan 15, 2025
Onat Tüneli’nde yoğun tempo Işığa 210 metre kaldı Şubat 10, 2025
Kocaelispor’un iç saha maçlarında iftarlar Büyükşehir’den Şubat 27, 2025
The Never Game Romanından Uyarlanan “Tracker” 2. Sezonuyla 5 Ocak Pazar FX Ekranlarında! Ocak 3, 2025
İyilik yapan, iyilik görenden daha mutlu oluyor! Kasım 16, 2024
İzmir’in muhtarlarına en anlamlı yeni yıl hediyesi Ocak 11, 2025
Matadorbete | © 2025 |

betkolik betcio betzula betgit tempobet sahabet betmoon starzbet tipobet Hostes Başkent Haber sahabet ömer betgar bahiscom bahiscom