Хакеры, связанные с Северной Кореей, все чаще прибегают к фальшивым собеседованиям для того, чтобы проникнуть в компании, работающие вискусственный интеллект, криптовалюта и финансовые услуги.

Вместо того чтобы напрямую атаковать системы, эти группы используют процессы рекрутинга и человеческое доверие. Этот сдвиг показывает, как киберугрозы в крипто-секторе становятся более тонкими и личными.

Основные выводы

• Более 3,100 IP-адресов, связанных с компаниями в области ИИ, криптовалют и финансов, были нацелены.
• Фальшивые рекрутеры использовали задания на собеседованиях для доставки вредоносного кода
• Соискатели работы невольно подвергали корпоративные системы риску в процессе найма

Исследуйте криптоэкосистему ответственно, зарегистрировавшись наBitrue.com.

Новая киберугроза, скрытая в собеседованиях на работу

Исследователи безопасности из группы Insikt компании Recorded Future выявили крупномасштабную операцию под названием PurpleBravo, которая сосредоточилась на наборе сотрудников, а не на традиционных кибератаках. Кампания была нацелена на соискателей, подающих заявки на вакансии в сфере технологий,криптои компании, связанные с финансами, в различных регионах.

Хакеры выдавали себя за легитимных рекрутеров или разработчиков и связывались с кандидатами, предлагая реалистичные предложения о работе. Беседы выглядели профессионально и надежно, часто включали технические обсуждения, соответствующие опыту и квалификации кандидата.

В рамках процесса собеседования кандидатам предлагалось выполнить задания по кодированию, просмотреть исходный код или склонировать репозитории GitHub. Эти задачи распространены в техническом найме, что сделало запросы обычными и безвредными.

В нескольких случаях кандидаты проходили оценки на предоставленных компанией устройствах. Когда был выполнен вредоносный код, он создал точки доступа в корпоративные системы, обнажая гораздо больше информации, чем просто данные отдельного пользователя.

Читать также:Северокорейские хакеры украли 2 миллиарда долларов в цифровых активах

Как использовались вредоносные инструменты для разработчиков

PurpleBravo сильно полагался на вредоносные инструменты разработчиков, замаскированные под легитимные проекты. Мошеннические репозитории на GitHub были разработаны так, чтобы выглядеть подлинными, с документацией и структурированным кодом.

После открытия эти репозитории развернули вредоносное ПО, такое как BeaverTail, GolangGhost и PylangGhost. Эти инструменты были способны красть учетные данные браузера, cookies и конфиденциальные данные сессий на различных платформах.

Одна из более продвинутых техник связана с Microsoft Visual Studio Code. Нападатели внедрили вредоносные команды в конфигурационные файлы, которые выполнялись автоматически, как только пользователь доверял репозиторию.

Этот метод позволил злоумышленникам получить удаленный доступ, не вызывая немедленного подозрения. GolangGhost поддерживал несколько операционных систем, в то время как PylangGhost сосредоточился на устройствах под управлением Windows, увеличивая охват кампании.

Читать также:Хакер, связанный с манипуляцией ценой на BROCCOLI с низкой ликвидностью

Фальшивые персоны и риски глобальной цепочки поставок

Чтобы поддержать кампанию, злоумышленники создали поддельные онлайн-персоны на таких платформах, как LinkedIn, GitHub и рынки фриланса. Эти профили были тщательно поддержаны, чтобы выглядеть достоверными и активными.

Многие персонажи утверждали, что они базируются в Одессе, Украина, хотя исследователи не смогли определить, почему было выбрано это местоположение. Тем не менее, идентичности использовались последовательно на разных платформах.

Соискатели из Южной Азии часто становились целью атак, в то время как нападавшие представляли себя как представителей крипто- или технологических компаний. Некоторые поддельные проекты даже рекламировали инициативы на основе токенов, поддерживаемые Telegram-каналами, заполненными ботами и вредоносными ссылками.

Широкая проблема заключается в уязвимости цепочки поставок. Один скомпрометированный разработчик может непреднамеренно предоставить злоумышленникам доступ к данным клиентов, внутренним системам или сетям партнеров.

Читать также:$128M украдено из протокола Balancer в результате атаки хакера

Заключение

Кампания PurpleBravo подчеркивает, как киберугрозы эволюционировали, перейдя от технических эксплойтов к акценту на человеческое поведение. Злоумышленники из Северной Кореи, злоупотребляя процессами найма и доверенными инструментами разработчиков, получили доступ к компаниям в секторах криптовалют, ИИ и финансов.

Масштаб и охват этой операции подчеркивают важность осторожности при найме и удаленной работе. Более тщательная проверка, ограниченное доверие и повышенная осведомленность сейчас необходимы для защиты чувствительных систем в цифровой экономике.

Часто задаваемые вопросы

Что такое кампания PurpleBravo

Это кибероперация, связанная с Северной Кореей, которая использует фальшивые собеседования для распространения вредоносного ПО.

Какие отрасли были подвержены атакам

Криптовалюта, искусственный интеллект, финансовые услуги и сектора технологий.

Как жертвы заразились

Жертвы запускали вредоносный код во время интервью, связанных с кодированием.

Почему эту атаку трудно обнаружить

Он использует надежные инструменты и обычные процедуры найма вместо очевидных эксплойтов.

Каков самый большой риск для компаний?