Nordkoreanisch verbundene Hacker wenden sich zunehmend gefälschten Vorstellungsgesprächen zu, um in Unternehmen einzudringen, die inkünstliche Intelligenz, Kryptowährungen und Finanzdienstleistungen.

Statt direkt Systeme anzugreifen, nutzen diese Gruppen Rekrutierungsprozesse und menschliches Vertrauen aus. Dieser Wandel zeigt, wie Cyberbedrohungen im Kryptosektor subtiler und persönlicher werden.

Wichtige Erkenntnisse

• Mehr als 3.100 IP-Adressen, die mit KI-, Krypto- und Finanzfirmen verbunden sind, wurden ins Visier genommen.
• Falsche Recruiter nutzten Interviewaufgaben, um schädlichen Code zu verbreiten.
• Arbeitssuchende haben während des Einstellungsprozesses unwissentlich Unternehmenssysteme gefährdet.

Erforschen Sie das Krypto-Ökosystem verantwortungsbewusst, indem Sie sich beiBitrue.com.

Eine neue Cyberbedrohung, die sich in Vorstellungsgesprächen verbirgt

Sicherheitsforscher der Insikt Group von Recorded Future identifizierten eine umfangreiche Operation namens PurpleBravo, die sich auf Rekrutierung statt auf traditionelle Cyberangriffe konzentrierte. Die Kampagne richtete sich an Arbeitssuchende, die sich um Stellen im Technologiebereich bewarben,kryptound finanzbezogene Unternehmen in mehreren Regionen.

Hackers als Rekrutierer

Hackern gaben sich als legitime Recruiter oder Entwickler aus und kontaktierten Kandidaten mit realistischen Stellenangeboten. Die Gespräche erschienen professionell und glaubwürdig, oft beinhalteten sie technische Diskussionen, die mit dem Hintergrund und der Erfahrung des Kandidaten übereinstimmten.

Im Rahmen des Auswahlverfahrens wurden die Kandidaten gebeten, Programmierprüfungen abzulegen, Quellcode zu überprüfen oder GitHub-Repositories zu klonen. Diese Aufgaben sind im technischen Einstellungsprozess üblich, was die Anforderungen routiniert und harmlos erscheinen ließ.

In mehreren Fällen führten die Kandidaten die Bewertungen auf von der Firma ausgegebenen Geräten durch. Als bösartiger Code ausgeführt wurde, wurden Zugangspunkte zu den Unternehmenssystemen geschaffen, wodurch viel mehr als nur der einzelne Benutzer exponiert wurde.

Auch lesen:Nordkoreanische Hacker stehlen 2 Milliarden Dollar in digitalen Vermögenswerten

Wie bösartige Entwicklertools verwendet wurden

PurpleBravo setzte stark auf bösartige Entwickler-Tools, die sich als legitime Projekte ausgaben. Betrügerische GitHub-Repositories wurden so gestaltet, dass sie authentisch aussehen, komplett mit Dokumentation und strukturiertem Code.

Sobald diese Repositories geöffnet wurden, wurden Schadprogramme wie BeaverTail, GolangGhost und PylangGhost bereitgestellt. Diese Tools waren in der Lage, Browser-Anmeldeinformationen, Cookies und sensible Sitzungsdaten über mehrere Plattformen hinweg zu stehlen.

Eine der fortgeschritteneren Techniken beinhaltete Microsoft Visual Studio Code. Angreifer betteten bösartige Befehle in Konfigurationsdateien ein, die automatisch ausgeführt wurden, sobald der Benutzer das Repository vertraute.

Diese Methode ermöglichte es Angreifern, aus der Ferne auf Systeme zuzugreifen, ohne sofortige Verdachtsmomente zu wecken. GolangGhost unterstützte mehrere Betriebssysteme, während PylangGhost sich auf Windows-Geräte konzentrierte und so die Reichweite der Kampagne erhöhte.

Siehe auch:

Falsche Personas und Risiken in der globalen Lieferkette

Um die Kampagne zu unterstützen, erstellten Angreifer gefälschte Online-Personas auf Plattformen wie LinkedIn, GitHub und Freelance-Marktplätzen. Diese Profile wurden sorgfältig gepflegt, um glaubwürdig und aktiv zu erscheinen.

Viele Personen gaben an, in Odessa, Ukraine, ansässig zu sein, obwohl Forscher nicht bestimmen konnten, warum dieser Standort gewählt wurde. Trotzdem wurden die Identitäten konsistent über verschiedene Plattformen hinweg verwendet.

Stellenbewerber aus Südasien wurden häufig ins Visier genommen, während die Angreifer sich als Vertreter von Krypto- oder Technologieunternehmen ausgaben. Einige gefälschte Projekte bewarben sogar tokenbasierte Initiativen, die von Telegram-Kanälen unterstützt wurden, die mit Bots und schädlichen Links gefüllt waren.

Die größere Besorgnis liegt in der Verwundbarkeit der Lieferkette. Ein einzelner kompromittierter Entwickler kann unbeabsichtigt Angreifern Zugriff auf Kundendaten, interne Systeme oder Partnernetzwerke gewähren.

Auch lesen:$128M von Balancer-Protokoll aufgrund eines Hackerangriffs gestohlen

Fazit

Die PurpleBravo-Kampagne hebt hervor, wie sich Cyberbedrohungen über technische Ausnutzungen hinaus entwickelt haben und nun stark auf menschliches Verhalten fokussiert sind. Durch den Missbrauch von Rekrutierungsprozessen und vertrauenswürdigen Entwicklerwerkzeugen erlangten nordkoreanische Hacker Zugang zu Unternehmen in den Bereichen Krypto, KI und Finanzen.

Der Umfang und die Reichweite dieser Operation unterstreichen die Bedeutung von Vorsicht bei der Einstellung und der Remote-Arbeit. Stärkere Überprüfungen, begrenztes Vertrauen und erhöhtes Bewusstsein sind jetzt unerlässlich, um sensible Systeme in der digitalen Wirtschaft zu schützen.

FAQ

Was ist die PurpleBravo-Kampagne

Es handelt sich um eine mit Nordkorea verbundene Cyberoperation, die gefälschte Vorstellungsgespräche nutzt, um Malware zu verbreiten.

Welche Branchen wurden angegriffen

Kryptowährung, künstliche Intelligenz, Finanzdienstleistungen und Technologiesektoren.

Wie wurden die Opfer infiziert

Opfer führten während der interviewbezogenen Programmieraufgaben schadhafter Code aus.

Warum ist dieser Angriff schwer zu erkennen?

Es verwendet vertrauenswürdige Tools und normale Einstellungsverfahren anstelle von offensichtlichen Ausnutzungen.

What is the biggest risk for companies Was ist das größte Risiko für Unternehmen

Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken und stellt keine finanziellen, investitions- oder cybersicherheitsbezogenen Ratschläge dar. Die Leser sollten eigenständige Recherchen durchführen und Fachleute konsultieren, bevor sie Entscheidungen in Bezug auf digitale Vermögenswerte oder Sicherheitspraktiken treffen.