Serbest Çalışan Yazılımcılar Hedefte Kuzey Kore Bağlantılı Siber Tehdit: DeceptiveDevelopment
ESET, bilgi hırsızları ve serbest çalışan geliştiricileri hedef alan bir tehdit grubu keşfetti.
Kuzey Kore bağlantılı DeceptiveDevelopment grubu, serbest çalışan yazılım geliştiricilerini sahte iş teklifleriyle hedef alıyor. Siber güvenlik şirketi ESET’in keşfine göre, grup özellikle kripto para cüzdanlarını ve giriş bilgilerini çalmayı amaçlayan sosyal mühendislik saldırıları düzenliyor.
Sahte İş Teklifleriyle Siber Tuzak
ESET’in 2024 yılından bu yana takip ettiği DeceptiveDevelopment, iş arama platformları ve serbest çalışma siteleri üzerinden yazılım geliştiricileri hedef alıyor. Grubun temel amacı, sahte iş teklifleri sunarak geliştiricileri kandırmak ve kötü amaçlı yazılımları bilgisayarlarına bulaştırmak.
Kimler Hedefte?
- Serbest çalışan yazılım geliştiricileri
- Kripto para ile ilgilenen yazılımcılar
- Windows, Linux ve macOS platformlarında çalışan geliştiriciler
Nasıl Bir Yöntem Kullanıyorlar?
- Sahte iş ilanları yayımlıyorlar.
- LinkedIn, Upwork, Freelancer gibi platformlarda sahte işe alım profilleri oluşturuyorlar.
- Yazılımcılara kodlama testleri göndererek zararlı dosyaları çalıştırmalarını sağlıyorlar.
- Kötü amaçlı yazılımlar aracılığıyla giriş bilgilerini, tarayıcı verilerini ve kripto cüzdanlarını ele geçiriyorlar.
Saldırı Yöntemleri ve Kullanılan Zararlı Yazılımlar
ESET araştırmacılarının tespitlerine göre, DeceptiveDevelopment grubu iki aşamalı bir saldırı stratejisi kullanıyor:
1️⃣ İlk Aşama – BeaverTail (Bilgi Hırsızı ve İndirici)
- Tarayıcılarda kayıtlı giriş bilgilerini ele geçiriyor.
- Kullanıcı verilerini bir sonraki aşama için topluyor.
2️⃣ İkinci Aşama – InvisibleFerret (Casus Yazılım ve Uzaktan Erişim Aracı)
- Kullanıcının sistemine tam erişim sağlıyor.
- AnyDesk gibi yasal uzaktan yönetim araçlarını kullanarak sistemi tamamen kontrol altına alıyor.
En Riskli Platformlar
Bu saldırılar, genel iş arama platformlarının yanı sıra kripto para ve blok zinciri projelerine odaklanan özel sitelerde de yaygınlaşıyor.
Hedef alınan platformlar:
- Upwork
- Freelancer.com
- We Work Remotely
- Moonlight
- Crypto Jobs List
Yazılımcılar, bu platformlarda iş ilanlarına başvurmadan önce teklifin doğruluğunu sorgulamalı ve gönderilen dosyaları açmadan önce detaylı bir güvenlik analizi yapmalıdır.
ESET Araştırmacısı Matěj Havránek’in Açıklamaları
ESET güvenlik araştırmacısı Matěj Havránek, sahte iş görüşmelerinde kullanılan taktikler hakkında şu bilgileri verdi: “Saldırganlar, hedeflerinden kodlama testleri yapmalarını istiyor ve proje dosyalarını GitHub gibi platformlarda barındırıyor. Kurban projeyi indirip çalıştırdığında, kötü amaçlı yazılım sisteme sızıyor. Bu, Kuzey Kore bağlantılı tehdit aktörlerinin yeni bir para kazanma yöntemi olarak öne çıkıyor ve özellikle kripto para ekosistemine yönelik saldırıları artırıyor.”
Güvenlik Önerileri ve Korunma Yöntemleri
Bilinmeyen kişilerden gelen iş tekliflerine şüpheyle yaklaşın.
Sadece güvenilir kaynaklardan gelen projeleri indirip çalıştırın.
Gönderilen dosyaları çalıştırmadan önce kötü amaçlı kod içerip içermediğini analiz edin.
Şüpheli bağlantıları ve platformları doğrulamadan kişisel bilgilerinizi paylaşmayın.
İki faktörlü kimlik doğrulamayı (2FA) aktif hale getirin ve parola yöneticilerinizi güçlü şifrelerle koruyun.
Kuzey Kore bağlantılı DeceptiveDevelopment gibi tehdit gruplarının serbest çalışan yazılım geliştiricileri hedef alması, küresel ölçekte siber güvenlik risklerinin giderek arttığını gösteriyor. Özellikle kripto para sektörü, son yıllarda siber saldırganların en fazla ilgi gösterdiği alanlardan biri haline geldi. Serbest çalışan geliştiriciler, cazip görünen iş tekliflerine karşı daha dikkatli olmalı ve iş ilanlarının kaynağını mutlaka doğrulamalıdır. Bu tür saldırılar, siber güvenlik farkındalığının ne kadar kritik olduğunu bir kez daha gözler önüne seriyor.
