Hakerzy powiązani z Koreą Północną coraz częściej stosują fałszywe rozmowy kwalifikacyjne jako sposób na infiltrację firm działających wsztuczna inteligencja, kryptowaluty i usługi finansowe.

Zamiast bezpośrednio atakować systemy, te grupy wykorzystują procesy rekrutacyjne i ludzkie zaufanie. Ta zmiana pokazuje, jak zagrożenia cybernetyczne w sektorze kryptowalut stają się coraz bardziej subtelne i osobiste.

• Kluczowe wnioski

• Więcej niż 3,100 adresów IP związanych z firmami zajmującymi się AI, kryptowalutami i finansami zostało zaatakowanych.
• Fałszywi rekruterzy wykorzystali zadania podczas rozmów kwalifikacyjnych do dostarczania złośliwego kodu
• Osoby poszukujące pracy nieświadomie narażały systemy korporacyjne podczas procesów rekrutacyjnych.

Zbadaj ekosystem kryptowalut odpowiedzialnie, rejestrując się naBitrue.com.

Nowe zagrożenie cybernetyczne ukryte w rozmowach kwalifikacyjnych

Badacze bezpieczeństwa z grupy Insikt firmy Recorded Future zidentyfikowali operację na dużą skalę znaną jako PurpleBravo, która koncentrowała się na rekrutacji, a nie na tradycyjnych atakach cybernetycznych. Kampania miała na celu zatrudnianie osób poszukujących pracy na stanowiska w technologii,kryptoi firmy związane z finansami w różnych regionach.

Hakerzy podszywali się pod legalnych rekruterów lub deweloperów i kontaktowali się z kandydatami, przedstawiając realistyczne oferty pracy. Rozmowy wydawały się profesjonalne i wiarygodne, często obejmowały techniczne dyskusje, które pasowały do tła i doświadczenia kandydata.

W ramach procesu rekrutacji kandydaci byli proszeni o ukończenie ocen kodowania, przegląd źródła kodu lub sklonowanie repozytoriów GitHub. Te zadania są powszechne w rekrutacji technicznej, co sprawiło, że prośby wydawały się rutynowe i nieszkodliwe.

W kilku przypadkach kandydaci wykonywali oceny na urządzeniach wydanych przez firmę. Kiedy uruchomiono złośliwy kod, stworzył on punkty dostępu do systemów korporacyjnych, narażając na szwank znacznie więcej niż tylko indywidualnego użytkownika.

Czytaj także:

Hakerzy z Korei Północnej skradli 2 miliardy dolarów w aktywach cyfrowych

Jak złośliwe narzędzia deweloperskie zostały użyte

PurpleBravo mocno polegało na złośliwych narzędziach dla deweloperów, które były masqueradą jako legalne projekty. Oszukańcze repozytoria GitHub były zaprojektowane tak, aby wyglądały autentycznie, wraz z dokumentacją i uporządkowanym kodem.

Po otwarciu te repozytoria wdrożyły złośliwe oprogramowanie takie jak BeaverTail, GolangGhost i PylangGhost. Narzędzia te były zdolne do kradzieży danych uwierzytelniających przeglądarki, ciasteczek oraz wrażliwych danych sesji na wielu platformach.

Jedną z bardziej zaawansowanych technik było wykorzystanie Microsoft Visual Studio Code. Napastnicy osadzili złośliwe polecenia w plikach konfiguracyjnych, które były wykonywane automatycznie, gdy użytkownik zaufał repozytorium.

Ta metoda pozwalała atakującym uzyskać zdalny dostęp bez wzbudzania natychmiastowego podejrzenia. GolangGhost wspierał wiele systemów operacyjnych, podczas gdy PylangGhost koncentrował się na urządzeniach z systemem Windows, zwiększając zasięg kampanii.

Czytaj także:Haker powiązany z manipulowaniem niską płynnością ceny BROCCOLI

Fałszywe osobowości i globalne ryzyko w łańcuchu dostaw

Aby wspierać kampanię, napastnicy stworzyli fałszywe osobowości online na platformach takich jak LinkedIn, GitHub i rynki freelancerskie. Te profile były starannie utrzymywane, aby wydawały się wiarygodne i aktywne.

Wiele person twierdziło, że ma siedzibę w Odessie na Ukrainie, chociaż badacze nie mogli ustalić, dlaczego wybrano to miejsce. Mimo to tożsamości były używane konsekwentnie na różnych platformach.

Poszukujący pracy z Azji Południowej byli często celem ataków, podczas gdy napastnicy przedstawiali się jako przedstawiciele firm kryptograficznych lub technologicznych. Niektóre fałszywe projekty promowały nawet inicjatywy oparte na tokenach wspierane przez kanały Telegram wypełnione botami i złośliwymi linkami.

Szerszym problemem jest narażenie na łańcuch dostaw. Pojedynczy skompromitowany deweloper może nieumyślnie udostępnić atakującym dostęp do danych klientów, systemów wewnętrznych lub sieci partnerów.

Przeczytaj także:$128M skradzione z protokołu Balancer w wyniku ataku hakerskiego

Wniosek

Kampania PurpleBravo podkreśla, jak zagrożenia cybernetyczne ewoluowały poza techniczne exploity i obecnie koncentrują się w dużej mierze na zachowaniach ludzkich. Poprzez nadużywanie procesów rekrutacyjnych i zaufanych narzędzi deweloperskich, północnokoreańscy hakerzy uzyskali dostęp do firm z sektorów kryptowalut, sztucznej inteligencji i finansów.

Skala i zasięg tej operacji podkreślają znaczenie ostrożności podczas zatrudniania i pracy zdalnej. Silniejsza weryfikacja, ograniczone zaufanie oraz zwiększona świadomość są teraz niezbędne do ochrony wrażliwych systemów w gospodarce cyfrowej.

FAQ

Co to jest kampania PurpleBravo

To jest operacja cybernetyczna związana z Koreą Północną, która wykorzystuje fałszywe rozmowy kwalifikacyjne do rozpowszechniania złośliwego oprogramowania.

Które branże były celem

Kryptowaluty, sztuczna inteligencja, usługi finansowe i sektory technologiczne.

Jak ofiary zostały zainfekowane

Ofiary uruchomiły złośliwy kod podczas zadań programistycznych związanych z rozmową kwalifikacyjną.

Dlaczego ten atak jest trudny do wykrycia

Używa zaufanych narzędzi i normalnych procesów rekrutacyjnych zamiast oczywistych luk.

Jakie jest największe ryzyko dla firm?

Informacja: Artykuł ten ma charakter informacyjny i nie stanowi porady finansowej, inwestycyjnej ani dotyczącej bezpieczeństwa cybernetycznego. Czytelnicy powinni przeprowadzić niezależne badania i skonsultować się z profesjonalistami przed podjęciem decyzji związanych z aktywami cyfrowymi lub praktykami bezpieczeństwa.