แฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือกำลังหันมาใช้การสัมภาษณ์งานปลอมมากขึ้นเป็นวิธีการเข้าแทรกซึมบริษัทต่างๆ ที่ดำเนินงานในปัญญาประดิษฐ์, สกุลเงินดิจิทัลและบริการทางการเงิน.

แทนที่จะโจมตีระบบโดยตรง กลุ่มเหล่านี้ใช้ประโยชน์จากกระบวนการสรรหาบุคลากรและความไว้วางใจของมนุษย์ การเปลี่ยนแปลงนี้แสดงให้เห็นว่าคำขู่ทางไซเบอร์ในภาคคริปโตกำลังกลายเป็นเรื่องที่ละเอียดอ่อนและเป็นส่วนตัวมากขึ้น

ข้อสรุปที่สำคัญ

• มากกว่า 3,100 ที่อยู่ IP ที่เชื่อมโยงกับบริษัทด้าน AI, คริปโต และการเงินถูกโจมตี
• ผู้สรรหาปลอมใช้หน้าที่สัมภาษณ์เพื่อส่งมอบรหัสอันตราย
• ผู้หางานเปิดเผยระบบของบริษัทโดยไม่รู้ตัวในระหว่างกระบวนการสรรหา

สำรวจระบบนิเวศคริปโตอย่างมีความรับผิดชอบโดยการลงทะเบียนที่Bitrue.com.

ภัยคุกคามไซเบอร์ใหม่ที่ซ่อนอยู่ภายในสัมภาษณ์งาน

นักวิจัยด้านความปลอดภัยจากกลุ่ม Insikt ของ Recorded Future ได้ระบุถึงการดำเนินงานขนาดใหญ่ที่เรียกว่า PurpleBravo ซึ่งมุ่งเน้นไปที่การสรรหามากกว่าการโจมตีไซเบอร์แบบดั้งเดิม แคมเปญนี้มุ่งเป้าไปที่ผู้หางานที่สมัครงานในสายงานเทคโนโลยีคริปโตและบริษัทที่เกี่ยวข้องกับการเงินในหลายภูมิภาค

แฮกเกอร์แอบอ้างเป็นผู้สรรหาหรือผู้พัฒนาที่ชอบธรรมและติดต่อผู้สมัครด้วยข้อเสนองานที่ดูเหมือนจริง การสนทนาดูเหมือนจะเป็นทางการและน่าเชื่อถือ โดยมักมีการสนทนาเกี่ยวกับเทคนิคที่ตรงกับพื้นฐานและประสบการณ์ของผู้สมัคร

ในกระบวนการสัมภาษณ์ ผู้สมัครถูกขอให้ทำการประเมินการเขียนโค้ด ตรวจสอบซอร์สโค้ด หรือโคลนรีโพสิทอรี GitHub งานเหล่านี้เป็นเรื่องปกติในกระบวนการจ้างงานด้านเทคนิค ซึ่งทำให้คำขอดูเหมือนเป็นกิจวัตรและไม่มีอันตราย

ในหลายกรณี ผู้สมัครได้ทำการประเมินบนอุปกรณ์ที่ออกโดยบริษัท เมื่อโค้ดที่เป็นอันตรายถูกดำเนินการ มันได้สร้างจุดเข้าถึงไปยังระบบของบริษัท ซึ่งเปิดเผยข้อมูลมากกว่าผู้ใช้งานแต่ละคนเพียงคนเดียว

อ่านเพิ่มเติม:แฮกเกอร์เกาหลีเหนือขโมยสินทรัพย์ดิจิทัลมูลค่า 2 พันล้านดอลลาร์

เครื่องมือสำหรับนักพัฒนาที่เป็นอันตรายถูกนำมาใช้ได้อย่างไร

พึ่งพาเครื่องมือพัฒนาอันตรายที่ปลอมตัวเป็นโปรเจกต์ที่ถูกต้องตามกฎหมายอย่างมาก โดยมีที่เก็บ GitHub ที่เป็นการหลอกลวงออกแบบมาให้ดูเหมือนแท้จริง พร้อมด้วยเอกสารประกอบและโค้ดที่มีโครงสร้าง。

เมื่อเปิดใช้งานแล้ว สถานที่เก็บข้อมูลเหล่านี้ได้ปรับใช้มัลแวร์เช่น BeaverTail, GolangGhost และ PylangGhost เครื่องมือเหล่านี้สามารถขโมยข้อมูลรับรองของเบราว์เซอร์ คุกกี้ และข้อมูลเซสชันที่ละเอียดอ่อนจากหลายแพลตฟอร์ม

หนึ่งในเทคนิคที่มีความก้าวหน้ามากขึ้นเกี่ยวข้องกับ Microsoft Visual Studio Code ผู้โจมตีฝังคำสั่งที่เป็นอันตรายลงในไฟล์การกำหนดค่า ซึ่งจะทำงานโดยอัตโนมัติเมื่อผู้ใช้ไว้วางใจในที่เก็บข้อมูล

วิธีนี้อนุญาตให้ผู้โจมตีเข้าถึงระยะไกลโดยไม่ทำให้เกิดความสงสัยในทันที GolangGhost รองรับหลายระบบปฏิบัติการ ในขณะที่ PylangGhost มุ่งเน้นไปที่อุปกรณ์ Windows ซึ่งช่วยขยายขอบเขตของแคมเปญ

อ่านเพิ่มเติม:แฮ็กเกอร์ที่เชื่อมโยงกับการควบคุมราคา BROCCOLI ที่มีสภาพคล่องต่ำ

บุคลิกปลอมและความเสี่ยงของห่วงโซ่อุปทานทั่วโลก

เพื่อสนับสนุนแคมเปญ ผู้โจมตีได้สร้างตัวตนออนไลน์ปลอมบนแพลตฟอร์มต่างๆ เช่น LinkedIn, GitHub และตลาดฟรีแลนซ์ โปรไฟล์เหล่านี้ได้รับการดูแลอย่างระมัดระวังเพื่อให้ดูน่าเชื่อถือและมีความเคลื่อนไหว

หลายบุคคลอ้างว่าตนอยู่ที่เมืองโอเดสซา ประเทศยูเครน แม้ว่านักวิจัยจะไม่สามารถระบุได้ว่าทำไมสถานที่นี้จึงถูกเลือก อย่างไรก็ตาม อัตลักษณ์เหล่านี้ถูกใช้อย่างสม่ำเสมอในหลายแพลตฟอร์มต่างๆ

ผู้หางานจากเอเชียใต้ถูกโจมตีบ่อยครั้ง ในขณะที่ผู้โจมตีแสดงตัวว่าเป็นตัวแทนของบริษัทคริปโตหรือเทคโนโลยี โครงการปลอมบางแห่งยังส่งเสริมโครงการที่ใช้โทเคนซึ่งได้รับการสนับสนุนจากช่อง Telegram ที่เต็มไปด้วยบ็อตและลิงก์ที่เป็นอันตราย

ความกังวลที่กว้างขวางกว่าคือต่อการเปิดเผยในห่วงโซ่อุปทาน นักพัฒนาที่ถูกโจมตีเพียงคนเดียวอาจส่งผลให้ผู้โจมตีเข้าถึงข้อมูลลูกค้า ระบบภายใน หรือเครือข่ายพันธมิตรได้โดยไม่ตั้งใจ

อ่านเพิ่มเติม:$128M ถูกขโมยจาก Balancer Protocol เนื่องจากการโจมตีของแฮ็กเกอร์

สรุป

แคมเปญ PurpleBravo เน้นถึงวิธีที่ภัยคุกคามทางไซเบอร์ได้พัฒนาไปไกลกว่าเทคนิคการทำลายและตอนนี้มุ่งเน้นไปที่พฤติกรรมของมนุษย์อย่างหนัก โดยการใช้ประโยชน์จากกระบวนการสรรหาและเครื่องมือพัฒนาที่เชื่อถือได้ แฮกเกอร์จากเกาหลีเหนือได้เข้าถึงบริษัทต่างๆ ในภาคเงินดิจิทัล ปัญญาประดิษฐ์ และการเงิน

ขนาดและการเข้าถึงของการดำเนินงานนี้เน้นย้ำถึงความสำคัญของการระมัดระวังในระหว่างการจ้างงานและการทำงานทางไกล ความถูกต้องที่เข้มงวดขึ้น การไว้วางใจที่จำกัด และการตระหนักรู้ที่เพิ่มขึ้นเป็นสิ่งจำเป็นในขณะนี้เพื่อปกป้องระบบที่สำคัญในเศรษฐกิจดิจิทัล

คำถามที่พบบ่อย

การรณรงค์ PurpleBravo คืออะไร

มันเป็นการดำเนินการทางไซเบอร์ที่เชื่อมโยงกับเกาหลีเหนือซึ่งใช้การสัมภาษณ์งานปลอมเพื่อแพร่กระจายมัลแวร์

อุตสาหกรรมใดบ้างที่ถูกโจมตี

คริปโตเคอเรนซี, ปัญญาประดิษฐ์, บริการทางการเงิน และภาคเทคโนโลยี

ผู้ที่ตกเป็นเหยื่อกลายเป็นผู้ติดเชื้อได้อย่างไร

เหยื่อได้รันโค้ดที่เป็นอันตรายระหว่างการสัมภาษณ์เกี่ยวกับงานที่เกี่ยวข้องกับการเขียนโปรแกรม。

ทำไมการโจมตีนี้ถึงตรวจจับได้ยาก

มันใช้เครื่องมือที่เชื่อถือได้และกระบวนการสรรหาที่ปกติ แทนที่จะใช้วิธีการที่เปิดเผยได้ชัดเจน。

อะไรคือความเสี่ยงที่ใหญ่ที่สุดสำหรับบริษัท