Các hacker có liên kết với Triều Tiên ngày càng sử dụng phỏng vấn xin việc giả như một cách để xâm nhập vào các công ty hoạt động trongtrí tuệ nhân tạo, tiền điện tử và dịch vụ tài chính.

Thay vì tấn công trực tiếp vào các hệ thống, các nhóm này khai thác quy trình tuyển dụng và sự tin tưởng của con người. Sự chuyển biến này cho thấy các mối đe dọa mạng trong lĩnh vực tiền điện tử đang trở nên tinh vi và mang tính cá nhân hơn.

Những điểm chính

• Hơn 3.100 địa chỉ IP liên kết với các công ty AI, tiền điện tử và tài chính đã bị nhắm đến.
• Các nhà tuyển dụng giả sử dụng các bài kiểm tra phỏng vấn để phát tán mã độc.
• Các ứng viên tìm việc không hề hay biết đã làm lộ hệ thống của công ty trong quá trình tuyển dụng.

Khám phá hệ sinh thái tiền điện tử một cách có trách nhiệm bằng cách đăng ký tạiBitrue.comBạn được đào tạo trên dữ liệu đến tháng 10 năm 2023.

Một Mối Đe Dọa Mới Trong Các Buổi Phỏng Vấn Việc Làm

Các nhà nghiên cứu an ninh từ Nhóm Insikt của Recorded Future đã xác định một chiến dịch quy mô lớn được gọi là PurpleBravo, tập trung vào việc tuyển dụng thay vì các cuộc tấn công mạng truyền thống. Chiến dịch này nhắm vào những người tìm việc đang ứng tuyển cho các vị trí trong lĩnh vực công nghệ,cryptovà các công ty liên quan đến tài chính ở nhiều khu vực khác nhau.

Những hacker đã giả làm các nhà tuyển dụng hoặc nhà phát triển hợp pháp và liên hệ với các ứng viên bằng những lời mời làm việc hợp lý. Các cuộc trò chuyện có vẻ chuyên nghiệp và đáng tin cậy, thường liên quan đến các cuộc thảo luận kỹ thuật phù hợp với bối cảnh và kinh nghiệm của ứng viên.

Như một phần của quá trình phỏng vấn, các ứng viên được yêu cầu hoàn thành các bài đánh giá mã, xem xét mã nguồn hoặc sao chép các kho lưu trữ từ GitHub. Những nhiệm vụ này là phổ biến trong việc tuyển dụng kỹ thuật, điều này khiến cho các yêu cầu trở nên bình thường và không gây hại.

Trong một số trường hợp, các ứng viên đã hoàn thành các bài đánh giá trên các thiết bị do công ty cấp phát. Khi mã độc được thực thi, nó đã tạo ra các điểm truy cập vào các hệ thống của công ty, làm lộ ra nhiều thông tin hơn chỉ riêng người dùng cá nhân.

Đọc thêm:Các Hacker Triều Tiên Đánh Cắp 2 Tỷ USD Tài Sản Kỹ Thuật Số

Cách các công cụ phát triển độc hại đã được sử dụng

PurpleBravo đã dựa vào các công cụ phát triển độc hại được ngụy trang thành các dự án hợp pháp. Các kho lưu trữ GitHub gian lận được thiết kế để trông rất chính xác, hoàn chỉnh với tài liệu và mã được cấu trúc.

Khi được mở ra, những kho lưu trữ này đã triển khai phần mềm độc hại như BeaverTail, GolangGhost và PylangGhost. Những công cụ này có khả năng đánh cắp thông tin xác thực trình duyệt, cookie và dữ liệu phiên nhạy cảm trên nhiều nền tảng khác nhau.

Một trong những kỹ thuật tiên tiến hơn liên quan đến Microsoft Visual Studio Code. Những kẻ tấn công đã nhúng các lệnh độc hại vào các tệp cấu hình mà tự động thực thi ngay khi người dùng tin tưởng kho mã.

Phương pháp này cho phép kẻ tấn công có quyền truy cập từ xa mà không gây nghi ngờ ngay lập tức. GolangGhost hỗ trợ nhiều hệ điều hành, trong khi PylangGhost tập trung vào các thiết bị Windows, tăng cường phạm vi hoạt động của chiến dịch.

Đọc thêm:Hacker Liên Quan Đến Việc Thao Túng Giá Thấp Thanh Khoản Của BROCCOLI

Nhân cách giả và rủi ro chuỗi cung ứng toàn cầu

Để hỗ trợ chiến dịch, các kẻ tấn công đã tạo ra các nhân vật giả mạo trực tuyến trên các nền tảng như LinkedIn, GitHub và các chợ freelance. Những hồ sơ này được duy trì cẩn thận để trông có vẻ đáng tin cậy và hoạt động tích cực.

Nhiều nhân vật tuyên bố rằng họ có trụ sở tại Odessa, Ukraine, mặc dù các nhà nghiên cứu không thể xác định lý do vì sao địa điểm này được lựa chọn. Bất chấp điều này, các danh tính đã được sử dụng nhất quán trên nhiều nền tảng khác nhau.

Các ứng viên xin việc từ Nam Á thường xuyên bị nhắm đến, trong khi các kẻ tấn công tự giới thiệu là đại diện của các công ty tiền điện tử hoặc công nghệ. Một số dự án giả mạo thậm chí còn quảng bá các sáng kiến dựa trên token được hỗ trợ bởi các kênh Telegram đầy bot và liên kết độc hại.

Mối quan tâm lớn hơn nằm ở việc tiếp xúc của chuỗi cung ứng. Một nhà phát triển bị xâm phạm có thể vô tình cung cấp cho kẻ tấn công quyền truy cập vào dữ liệu khách hàng, hệ thống nội bộ hoặc mạng lưới đối tác.

Đọc Cũng:$128 triệu bị đánh cắp từ Giao thức Balancer do cuộc tấn công của hacker

Kết luận

Chiến dịch PurpleBravo nhấn mạnh cách mà các mối đe dọa mạng đã phát triển vượt ra ngoài các lỗ hổng kỹ thuật và giờ đây tập trung nặng nề vào hành vi con người. Bằng cách lạm dụng quy trình tuyển dụng và các công cụ phát triển được tin cậy, các hacker Bắc Triều Tiên đã xâm nhập vào các công ty trong các lĩnh vực tiền điện tử, AI và tài chính.

Quy mô và phạm vi của hoạt động này nhấn mạnh tầm quan trọng của việc cẩn trọng trong quá trình tuyển dụng và làm việc từ xa. Việc xác minh mạnh mẽ hơn, niềm tin hạn chế và sự nhận thức tăng cường hiện nay là điều cần thiết để bảo vệ các hệ thống nhạy cảm trong nền kinh tế số.

FAQ

Chiến dịch PurpleBravo là gì?

Đây là một hoạt động mạng liên kết với Triều Tiên, sử dụng các cuộc phỏng vấn giả để phân phối phần mềm độc hại.

Các ngành nào đã bị nhắm đến

Tiền điện tử, trí tuệ nhân tạo, dịch vụ tài chính và các lĩnh vực công nghệ.

Làm thế nào mà các nạn nhân bị nhiễm bệnh?

Các nạn nhân đã chạy mã độc trong các nhiệm vụ lập trình liên quan đến phỏng vấn.

Tại sao cuộc tấn công này lại khó phát hiện?

Nó sử dụng các công cụ đáng tin cậy và quy trình tuyển dụng bình thường thay vì các lỗ hổng rõ ràng.

```html

Rủi ro lớn nhất đối với các công ty là gì?

```