Kuzey Kore Bağlantılı DeceptiveDevelopment, Serbest Yazılımcıları Hedef Alıyor

Teknoloji

Kuzey Kore Bağlantılı DeceptiveDevelopment, Serbest Yazılımcıları Hedef Alıyor

Siber güvenlik şirketi ESET, Kuzey Kore destekli DeceptiveDevelopment adlı hacker grubunun serbest çalışan yazılımcıları hedef aldığını tespit etti. Grubun amacı, iş bulma platformları üzerinden geliştiricilere sahte iş teklifleri sunarak kripto para cüzdanlarını, tarayıcı bilgilerini ve parola yöneticilerindeki giriş bilgilerini ele geçirmek. Türkiye dahil birçok ülkede faaliyet gösteren bu siber tehdit, özellikle freelance çalışan yazılımcıları risk altına sokuyor.

Sahte İş Teklifleri ile Bilgi Hırsızlığı

ESET’in tespitlerine göre DeceptiveDevelopment operatörleri, iş bulma sitelerinde sosyal mühendislik saldırıları gerçekleştirerek geliştiricileri kandırıyor. Sahte iş ilanlarıyla başvuru yapan yazılımcılardan belirli kodlama testleri yapmaları isteniyor. Ancak verilen yazılım dosyaları, aslında kötü amaçlı yazılımlar içeriyor. Yazılımcılar bu dosyaları çalıştırdığında bilgisayarları bilgi çalan yazılımlarla enfekte oluyor.

ESET araştırmacısı Matěj Havránek, saldırının detaylarını şu sözlerle açıkladı:
“Saldırganlar, iş görüşmesi sürecinde hedeflerinden yazılım projelerine yeni özellikler eklemelerini istiyor. Gerekli dosyalar genellikle GitHub, GitLab veya Bitbucket gibi platformlarda barındırılıyor. Ancak bu dosyalar, truva atı niteliğindeki kötü amaçlı kodlar içeriyor. Yazılımcılar bu dosyaları çalıştırdıklarında sistemleri ele geçiriliyor.”

Hedef: Kripto Para Cüzdanları ve Hassas Veriler

DeceptiveDevelopment’ın saldırıları iki aşamalı bir kötü amaçlı yazılım süreciyle gerçekleşiyor:

  1. BeaverTail (Bilgi Hırsızı ve İndirici)

    • Tarayıcı veritabanlarından kayıtlı oturum açma bilgilerini çalar.
    • Kripto para cüzdanlarına erişim sağlamaya çalışır.

  2. InvisibleFerret (Casus Yazılım ve Uzak Erişim Aracı – RAT)

    • Bilgisayara AnyDesk gibi uzaktan erişim araçları yükleyerek tam kontrol sağlar.
    • Casus yazılım bileşenleriyle kullanıcı verilerini izler ve çalar.

Hangi Platformlar Tehlikede?

Saldırganlar, özellikle serbest çalışanların sık kullandığı platformlar üzerinden faaliyet gösteriyor. Risk altında olan bazı platformlar şunlar:

  • LinkedIn
  • Upwork
  • Freelancer.com
  • We Work Remotely
  • Moonlight
  • Crypto Jobs List

Bu platformlarda sahte işe alım profilleri oluşturan hackerlar, potansiyel kurbanlara doğrudan mesaj atarak veya sahte iş ilanlarıyla kandırmaya çalışıyor.

Kötü Amaçlı Kodlar Nasıl Gizleniyor?

Siber saldırganlar, kötü amaçlı kodlarını yazılım dosyalarına gizli bir şekilde ekliyor. Genellikle:

  • Geliştiriciye verilen görevle ilgisiz bir bileşene ekleniyor.
  • Uzun bir yorum satırının arkasına gizlenerek fark edilmesi zor hale getiriliyor.
  • Arka uç kodu içinde tek bir satır olarak yerleştiriliyor.

Bu yöntemler sayesinde geliştiriciler, zararsız bir görev yaptıklarını düşünürken aslında sistemlerini ele geçiriyorlar.

Yazılımcılar İçin Güvenlik Önlemleri

Serbest çalışan yazılımcıların bu tür saldırılardan korunmak için dikkat etmesi gereken bazı noktalar:

Bilinmeyen kaynaklardan gelen yazılım dosyalarını çalıştırmadan önce detaylı inceleyin.
Sadece güvenilir platformlardan iş başvurusu yapın ve sahte ilanlara karşı dikkatli olun.
İşveren profillerini kontrol edin, sahte hesaplara karşı tetikte olun.
Parola yöneticilerinizin ve kripto cüzdanlarınızın güvenliğini artırın.
Cihazlarınıza güncel bir antivirüs ve güvenlik duvarı yazılımı yükleyin.

Siber güvenlik uzmanları, özellikle kripto para ile ilgilenen serbest çalışanların bu tür tehditlere karşı ekstra dikkatli olması gerektiğini vurguluyor.

Güncel Haberler

Teknoloji Haberleri