Gli hacker nordcoreani stanno prendendo di mira i cercatori di lavoro con una falsa applicazione di videoconferenza chiamata FreeConference. Secondo quanto rilevato dalla società di sicurezza informatica Group-IB a metà agosto 2024, questi attori malevoli hanno sfruttato una falsa applicazione di videoconferenza per Windows, che si spaccia per FreeConference.com, per installare malware sui sistemi dei sviluppatori. Questo attacco fa parte di una campagna finanziariamente motivata denominata Contagious Interview, orchestrata da un attore di minacce nordcoreano noto come Famous Chollima.

La catena di attacchi inizia con un’intervista di lavoro fittizia che induce i cercatori di lavoro a scaricare e utilizzare un progetto Node.js contenente il malware BeaverTail. BeaverTail, a sua volta, installa InvisibleFerret, un malware backdoor cross-platform scritto in Python, capace di controllo remoto, keylogging e furto di dati dai browser.

Alcune versioni di BeaverTail si presentano come malware JavaScript, distribuite tramite falsi pacchetti npm durante presunti test tecnici. Tuttavia, a luglio 2024, sono stati scoperti in circolazione file MSI per Windows e immagini disco DMG per macOS che si spacciavano per il legittimo software di videoconferenza MiroTalk, usati per distribuire una versione aggiornata di BeaverTail. Le ultime scoperte di Group-IB attribuiscono questa campagna al famigerato Lazarus Group, con l’unica differenza che l’installer ora imita FreeConference.com invece di MiroTalk.

Gli hacker scaricano il finto installer da un sito web chiamato freeconference[.]io, che utilizza lo stesso registrar del sito fittizio mirotalk[.]net. Oltre a LinkedIn, Lazarus Group cerca vittime su altre piattaforme di ricerca lavoro come WWR, Moonlight e Upwork. Dopo il contatto iniziale, spostano spesso la conversazione su Telegram, chiedendo ai potenziali candidati di scaricare un’applicazione di videoconferenza o un progetto Node.js per un compito tecnico.

In un segno di raffinamento della campagna, è stato osservato che gli attori iniettano JavaScript malevolo in repository relativi a criptovalute e giochi. Questo codice JavaScript recupera il codice BeaverTail dai domini ipcheck[.]cloud o regioncheck[.]net. La sicurezza della supply chain software è stata recentemente richiamata all’attenzione dall’azienda Phylum in relazione a un pacchetto npm chiamato helmet-validate, suggerendo che gli attori usano diversi vettori di propagazione.

Un’altra modifica degna di nota è che BeaverTail ora estrae dati da più estensioni di portafogli di criptovalute come Kaikas, Rabby, Argent X e Exodus Web3, e implementa funzionalità per stabilire persistenza usando AnyDesk. Le funzionalità di furto di informazioni di BeaverTail sono realizzate tramite script Python chiamati CivetQ, capaci di raccogliere cookie, dati del browser, tasti digitati e contenuti della clipboard, e distribuire ulteriori script. Il malware prende di mira un totale di 74 estensioni del browser.

La modularità di CivetQ indica che gli strumenti sono sotto sviluppo attivo e in continua evoluzione. Lazarus Group ha aggiornato le loro tattiche, migliorato i loro strumenti e trovato modi migliori per nascondere le loro attività, estendendo i loro attacchi ai cercatori di lavoro fino al presente giorno.