Північнокорейські хакери, пов'язані з режимом, все частіше використовують фальшиві співбесіди для того, щоб infiltrувати компанії, які працюють у штучний інтелект, криптовалюта та фінансові послуги.

Замість того, щоб атакувати системи безпосередньо, ці групи використовують процеси рекрутингу та людську довіру. Цей зсув показує, як кіберзагрози у крипто-секторі стають більш тонкими та особистими.

Основні висновки

• Більше 3,100 IP-адрес, пов'язаних з компаніями у сфері штучного інтелекту, криптовалют та фінансів, були націлені.
• Фальшиві рекрутери використовували завдання на співбесіді для доставки шкідливого коду
• Пошукачі роботи ненавмисно відкривали корпоративні системи під час процесів найму.

Досліджуйте криптоекосистему відповідально, зареєструвавшись наBitrue.com.

Новий кіберзагроза, прихована під час співбесід

Дослідники безпеки з групи Insikt Recorded Future виявили великомасштабну операцію, відому як PurpleBravo, яка зосереджувалася на рекрутменті, а не на традиційних кібератаках. Кампанія призначалася для тих, хто шукає роботу, що подається на позиції в галузі технологій,криптоі фінансовими компаніями в різних регіонах.

Хакери видавали себе за легітимних рекрутерів або розробників і контактували з кандидатами з реалістичними пропозиціями щодо роботи. Розмови виглядали професійно та надійно, часто включаючи технічні обговорення, які відповідали фону та досвіду кандидата.

Як частина процесу співбесіди, кандидатів попросили виконати оцінки коду, переглянути вихідний код або клонувати репозиторії GitHub. Ці завдання є звичними в технічному наборі персоналу, що робило запити звичайними і безпечними.

У кількох випадках кандидати проходили оцінювання на видах компанії. Коли зловмисний код був виконаний, він створював точки доступу до корпоративних систем, під exposing набагато більше, ніж просто окремий користувач.

Читайте також:

Хакери з Північної Кореї вкрали 2 мільярди доларів у цифрових активах

Як використовувалися шкідливі інструменти розробника

покладався на зловмисні інструменти розробників, замасковані під легітимні проекти. Шахрайські репозиторії на були оформлені так, щоб виглядати автентично, з документацією та структурованим кодом.

Після відкриття ці ці репозиторії розгортали шкідливе ПЗ, таке як BeaverTail, GolangGhost та PylangGhost. Ці інструменти були здатні красти облікові дані браузера, кукі та чутливі дані сесій на різних платформах.

Один з більш розвинутих методів включав Microsoft Visual Studio Code. Зловмисники вбудували шкідливі команди у файли конфігурації, які виконувалися автоматично, як тільки користувач довіряв репозitory.

Цей метод дозволив зловмисникам отримати віддалений доступ без викликання негайної підозри. GolangGhost підтримував кілька операційних систем, тоді як PylangGhost концентрувався на пристроях Windows, що збільшувало охоплення кампанії.

Читайте також:

Хакер, пов'язаний з маніпуляцією низьколіквідною ціною BROCCOLI

Фальшиві персонажі та ризики глобального ланцюга постачання

Щоб підтримати кампанію, зловмисники створювали підроблені онлайн-персони на платформах, таких як LinkedIn, GitHub та біржі фрілансерів. Ці профілі ретельно підтримувалися, щоб виглядати правдоподібно та активно.

Багато персонажів стверджували, що базуються в Одесі, Україна, хоча дослідники не змогли визначити, чому було обрано це місце. Незважаючи на це, особистості використовувалися послідовно на різних платформах.

Пошукачі роботи з Південної Азії часто ставали мішенню, тоді як нападники представляли себе як представників крипто- або технологічних фірм. Деякі фейкові проекти навіть просували ініціативи на основі токенів, підтримувані каналами Telegram, заповненими ботами та шкідливими посиланнями.

Ширша проблема полягає у вразливості постачальницьких ланцюгів. Один скомпрометований розробник може ненавмисно надати зловмисникам доступ до даних клієнтів, внутрішніх систем або партнерських мереж.

Читати також:$128М викрадено з протоколу Balancer внаслідок атаки хакерів

Висновок

Кампанія PurpleBravo підкреслює, як кіберзагрози еволюціонували за межі технічних експлойтів і тепер значною мірою орієнтуються на поведінку людей. Зловживаючи процесами набору кадрів та надійними інструментами для розробників, північнокорейські хакери отримали доступ до компаній у секторах криптовалют, штучного інтелекту та фінансів.

Масштаб і досяжність цієї операції підкреслюють важливість обережності під час найму та дистанційної роботи. Посилена перевірка, обмежена довіра та підвищена обізнаність наразі є необхідними для захисту чутливих систем у цифровій економіці.

FAQ

Що таке кампанія PurpleBravo

Це кібероперація, пов'язана з Північною Кореєю, яка використовує фальшиві співбесіди для розповсюдження шкідливого програмного забезпечення.

Які галузі були піддані нападам

Криптовалюта, штучний інтелект, фінансові послуги та технологічні сектори.

Як жертви заразилися

Жертви запускали шкідливий код під час співбесід, пов'язаних із програмуванням.

Чому цей напад важко виявити

Воно використовує надійні інструменти та звичайні процеси найму, замість очевидних експлуатацій.

Який найбільший ризик для компаній

Відмова від відповідальності: Ця стаття має лише інформаційний характер і не є фінансовою, інвестиційною або кібербезпековою порадою. Читачі повинні проводити незалежні дослідження та консультуватися з професіоналами перед прийняттям рішень, пов'язаних із цифровими активами або практиками безпеки.