Nordkoreanskt kopplade hackers vänder sig alltmer till falska jobbintervjuer som en metod för att infiltrera företag som verkar iartificiell intelligens, kryptovaluta och finanstjänster.

Istället för att attackera system direkt utnyttjar dessa grupper rekryteringsprocesser och mänskligt förtroende. Denna förändring visar hur cyberhot inom kryptovaluta-sektorn blir mer subtila och personliga.

Viktiga punkter

• Mer än 3 100 IP-adresser kopplade till AI-, kryptovaluta- och finansföretag blev måltavlor.
• Falska rekryterare använde intervjufrågor för att leverera skadlig kod

• Jobbsökande exponerade oavsiktligt företagsystem under anställningsprocesser

Utforska kryptovalutaekosystemet ansvarsfullt genom att registrera dig påBitrue.com.

En Ny Cyberhot Gömda Inom Jobbintervjuer

Du är tränad på data fram till oktober 2023.

Säkerhetsforskare från Recorded Future's Insikt Group identifierade en storskalig operation känd som PurpleBravo, som fokuserade på rekrytering snarare än traditionella cyberattacker. Kampanjen riktade sig till arbetssökande som ansökte om roller inom teknik,Kryptooch finansrelaterade företag över flera regioner.

Hackare utgav sig för att vara legitima rekryterare eller utvecklare och kontaktade kandidater med realistiska jobberbjudanden. Samtalen verkade professionella och trovärdiga, ofta med tekniska diskussioner som matchade kandidatens bakgrund och erfarenhet.

Som en del av intervjuprocessen ombads kandidaterna att slutföra kodningsbedömningar, granska källkod eller klona GitHub-repositoryn. Dessa uppgifter är vanliga vid teknisk rekrytering, vilket gjorde att förfrågningarna verkade rutinmässiga och harmlösa.

I flera fall genomförde kandidater bedömningarna på företagsutfärdade enheter. När skadlig kod exekverades skapade den åtkomstpunkter till företagsystem, vilket exponerade långt mer än bara den individuella användaren.

Läs också:Nordkoreanska hackare stjäl 2 miljarder dollar i digitala tillgångar

Hur skadliga utvecklarverktyg användes

PurpleBravo förlitade sig kraftigt på skadliga utvecklarverktyg som var maskerade som legitima projekt. Bedrägliga GitHub-repositorier var utformade för att se autentiska ut, komplett med dokumentation och strukturerad kod.

När de väl öppnades, distribuerade dessa arkiv skadlig programvara som BeaverTail, GolangGhost och PylangGhost. Dessa verktyg var kapabla att stjäla webbläsarens autentiseringsuppgifter, cookies och känsliga sessionsdata på flera plattformar.

En av de mer avancerade teknikerna involverade Microsoft Visual Studio Code. Angripare infogade skadliga kommandon i konfigurationsfiler som kördes automatiskt så snart användaren litade på arkivet.

Denna metod gjorde det möjligt för angripare att få fjärråtkomst utan att väcka omedelbar misstanke. GolangGhost stöddes av flera operativsystem, medan PylangGhost fokuserade på Windows-enheter, vilket ökade kampanjens räckvidd.

Läs också:Hacker kopplad till att manipulera BROCCOLIs låga likviditetspris

Falska personligheter och globala leveranskedjerisker

För att stödja kampanjen skapade angripare falska onlinepersonas över plattformar som LinkedIn, GitHub och frilansmarknader. Dessa profiler underhölls noggrant för att verka trovärdiga och aktiva.

Många personer hävdade att de var baserade i Odessa, Ukraina, även om forskarna inte kunde fastställa varför denna plats valdes. Trots detta användes identiteterna konsekvent på olika plattformar.

Jobbsökande från Sydasien var ofta mål för attacker, medan angriparna presenterade sig som representanter för kryptovaluta- eller teknikföretag. Vissa falska projekt marknadsförde till och med tokenbaserade initiativ som stöddes av Telegram-kanaler fyllda med botar och skadliga länkar.

Den bredare oro ligger i exponeringen av leveranskedjan. En enda komprometterad utvecklare kan oavsiktligt ge angripare tillgång till kunddata, interna system eller partnernätverk.

Läs också:$128M Stulna från Balancer Protokoll på grund av Hackerattack

Slutsats

PurpleBravo-kampanjen lyfter fram hur cyberhot har utvecklats bortom tekniska utnyttjanden och nu fokuserar starkt på mänskligt beteende. Genom att missbruka rekryteringsprocesser och betrodda utvecklarverktyg fick nordkoreanska hackare tillgång till företag inom kryptovaluta, AI och finanssektorerna.

Skalan och räckvidden av denna operation understryker vikten av försiktighet vid anställningar och distansarbete. Starkare verifiering, begränsad tillit och ökad medvetenhet är nu avgörande för att skydda känsliga system i den digitala ekonomin.

Vanliga Frågor (FAQ)

Vad är PurpleBravo-kampanjen

Det är en Nordkoreanskt kopplad cyberoperation som använder falska jobbintervjuer för att sprida skadlig programvara.

Vilka branscher var målade?

Kryptovaluta, artificiell intelligens, finanstjänster och tekniksektorer.

Hur blev offren smittade

Offer körde skadlig kod under intervjuer relaterade till kodningsuppgifter.

Varför är denna attack svår att upptäcka

Det använder pålitliga verktyg och normala anställningsflöden istället för uppenbara utnyttjanden.

Vad är den största risken för företag?

Anmärkning: Denna artikel är endast avsedd för informationssyften och utgör inte finansiell, investerings- eller cybersäkerhetsrådgivning. Läsare bör genomföra självständig forskning och konsultera yrkesverksamma innan de fattar beslut som rör digitala tillgångar eller säkerhetspraxis.