Северокорейские хакеры атакуют крипторазработчиков по всему миру, распространяя новый бэкдор AkdoorTea через фейковые вакансии

Специалисты словацкой компании ESET зафиксировали масштабную киберкампанию, организованную группой, связанной с Северной Кореей. По данным исследователей Петера Калнаи и Матея Хавранека, злоумышленники применяют ранее неизвестный бэкдор под названием AkdoorTea, а также целый арсенал других инструментов, в т. ч. TsunamiKit, Tropidoor и InvisibleFerret. Атаки нацелены преимущественно на разработчиков программного обеспечения, работающих в сфере криптовалют и Web3, независимо от используемой операционной системы.

Группа, отслеживаемая под псевдонимом DeceptiveDevelopment, также фигурирует под другими названиями — Famous Chollima, DEV#POPPER, Gwisin Gang и Void Dokkaebi. По оценке ESET, она активно использует многоуровневые схемы социальной инженерии, внедряя вредоносные скрипты через платформы по поиску работы, в частности LinkedIn, Upwork и Freelancer.

В основу атак положен сценарий, при котором жертве предлагается участие в «высокооплачиваемом» проекте. После установления контакта потенциального кандидата просят пройти видеоинтервью или выполнить тестовое задание. Первый вариант ведёт на вредоносные сайты, которые демонстрируют фальшивые сообщения об ошибке доступа к камере или микрофону. Под предлогом «исправления» ошибки пользователя убеждают ввести команды в терминале, тем самым давая злоумышленникам доступ к системе.

Альтернативный путь заражения связан с «тестовыми» заданиями на GitHub. Пользователю предлагают склонировать репозиторий, в который внедрён вредоносный код. После запуска он незаметно устанавливает шпионское ПО, включая такие модули, как GolangGhost (также известен как WeaselStore), OtterCookie и PylangGhost.

Отдельное внимание в отчёте ESET уделено вредоносному компоненту WeaselStore. В отличие от типичных инфостилеров, он продолжает функционировать после первоначального заражения и может выполнять команды атакующих, действуя как полноценный удалённый троян. Целью хакеров становятся браузеры и криптокошельки, откуда извлекается чувствительная информация.

Инструмент TsunamiKit, впервые зафиксированный в ноябре 2024 года, также активно используется в этой киберкампании. Он предназначен для похищения персональных данных и доступа к цифровым активам. Вместе с ним применяется Tropidoor — вредоносный модуль, способный загружать дополнительные компоненты и поддерживать постоянную связь с командным сервером.

Специалисты ESET говорят, что активность DeceptiveDevelopment носит глобальный характер. Кампания построена с упором на кроссплатформенность — вредоносные компоненты написаны на Python, Go, JavaScript и .NET, что позволяет атаковать как Windows, так и Linux и macOS.