Βορειοκορεάτες χάκερ χρησιμοποιούν ψεύτικες εταιρείες κρυπτογράφησης και συνεντεύξεις εργασίας για να διαδώσουν κακόβουλο λογισμικό
Σε μια ανατριχιαστική νέα ανατροπή στις τακτικές του εγκλήματος στον κυβερνοχώρο, οι χάκερ που συνδέονται με τη Βόρεια Κορέα παρουσιάζονται ως νόμιμες συμβουλευτικές εταιρείες κρυπτονομισμάτων για να διαδώσουν κακόβουλο λογισμικό κατά τη διάρκεια ψεύτικων συνεντεύξεων για δουλειά. Η εξελιγμένη εκστρατεία, που αποκαλύφθηκε από ειδικούς στον τομέα της κυβερνοασφάλειας, δείχνει πόσο μακριά είναι διατεθειμένοι να φτάσουν οι φορείς απειλών για να διεισδύσουν σε συστήματα και να κλέψουν ευαίσθητες πληροφορίες.
Table of Contents
Ψεύτικες εταιρείες, πραγματικές απειλές
Σύμφωνα με μια βαθιά ανάλυση του Silent Push, οι παράγοντες απειλών πίσω από τη λεγόμενη εκστρατεία «Μεταδοτική Συνέντευξη» έχουν δημιουργήσει τρεις εταιρείες μπροστά:
- BlockNovas LLC (blocknovas[.]com)
- Angeloper Agency (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Αυτές οι ψεύτικες επιχειρήσεις παρασύρουν ανυποψίαστα θύματα -κυρίως επαγγελματίες πληροφορικής και κρυπτονομισμάτων- σε διαδικασίες ψεύτικων προσλήψεων. Υπό το πρόσχημα των εργασιών κωδικοποίησης ή των τεχνικών συνεντεύξεων, οι αιτούντες εξαπατούνται για να κατεβάσουν κακόβουλο λογισμικό μεταμφιεσμένο ως νόμιμο υλικό εργασίας.
Οι οικογένειες κακόβουλου λογισμικού που αναπτύσσονται σε αυτήν τη λειτουργία περιλαμβάνουν το BeaverTail, το InvisibleFerret και το OtterCookie — το καθένα έχει σχεδιαστεί προσεκτικά για να θέσει σε κίνδυνο ένα ευρύ φάσμα συστημάτων, συμπεριλαμβανομένων των Windows, Linux και macOS.
Ένας Ιστός Απάτης
Η επιχείρηση Contagious Interview, την οποία παρακολουθούν και εταιρείες κυβερνοασφάλειας με ονόματα όπως DeceptiveDevelopment και Famous Chollima, αντιπροσωπεύει μια δραματική κλιμάκωση στις τακτικές κυβερνοκατασκοπείας της Βόρειας Κορέας.
Οι χάκερ δεν σταματούν σε ψεύτικους ιστότοπους. Έχουν δημιουργήσει δόλια προφίλ σε πλατφόρμες κοινωνικών μέσων όπως το Facebook, το LinkedIn, το Pinterest, το X (πρώην Twitter), το Medium, το GitHub και το GitLab για να προσθέσουν νομιμότητα στις δραστηριότητές τους. Η Silent Push σημείωσε ότι η BlockNovas κατασκεύασε ακόμη και μια ολόκληρη ομάδα εργαζομένων για τον ιστότοπό της, ισχυριζόμενος ψευδώς πάνω από 12 χρόνια εμπειρίας — παρά το γεγονός ότι η εταιρεία εγγράφηκε πρόσφατα.
Αυτή η εξαπάτηση κορυφώνεται με την ανάπτυξη κακόβουλου λογισμικού. Τα θύματα που στοχοποιούνται μέσω της διαδικασίας πρόσληψης κατεβάζουν ακούσια το BeaverTail, ένα πρόγραμμα κλοπής και φόρτωσης JavaScript, το οποίο στη συνέχεια εγκαθιστά το InvisibleFerret, μια κερκόπορτα ικανή να διατηρεί την επιμονή και να εκμεταλλεύεται ευαίσθητα δεδομένα. Ορισμένες μολύνσεις ρίχνουν επίσης ένα δευτερεύον εργαλείο κακόβουλου λογισμικού που ονομάζεται OtterCookie.
Υποδομές και Στόχοι
Το BlockNovas δεν σταμάτησε μόνο σε ιστότοπους και ψεύτικα προφίλ. Οι ερευνητές του Silent Push βρήκαν έναν "Πίνακα ελέγχου κατάστασης" σε έναν από τους υποτομείς του BlockNovas, ο οποίος χρησιμοποιείται για την παρακολούθηση πολλών τομέων που εμπλέκονται στις επιθέσεις. Επιπλέον, το mail.blocknovas[.]com βρέθηκε να φιλοξενεί το Hashtopolis, ένα εργαλείο διαχείρισης διάρρηξης κωδικού πρόσβασης ανοιχτού κώδικα.
Οι πλαστές κινήσεις στρατολόγησης έχουν ήδη πάρει θύματα. Σε μια επιβεβαιωμένη περίπτωση από τον Σεπτέμβριο του 2024, ένας προγραμματιστής παραβίασε το πορτοφόλι του κρυπτονομίσματος MetaMask.
Μια άλλη ανησυχητική ανακάλυψη αφορούσε έναν ιστότοπο που ονομάζεται Kryptoneer (φιλοξενείται στο attisscmo[.]com), που προσφέρει υπηρεσίες για τη σύνδεση πορτοφολιών κρυπτονομισμάτων - μια κίνηση που πιθανώς στοχεύει στη στόχευση χρηστών blockchain, ιδιαίτερα αυτών που συνδέονται με το blockchain Sui.
Καταστολή και διεθνείς επιπτώσεις
Από τις 23 Απριλίου 2025, οι αρχές επιβολής του νόμου των ΗΠΑ, συμπεριλαμβανομένου του FBI, κατέλαβαν τον τομέα BlockNovas, επικαλούμενος τον ρόλο του στη διάδοση κακόβουλου λογισμικού υπό την κάλυψη ψεύτικων ευκαιριών εργασίας.
Πέρα από τα τεχνικά πλεονεκτήματα, οι ερευνητές παρατήρησαν τη χρήση εργαλείων που τροφοδοτούνται με τεχνητή νοημοσύνη, όπως το Remaker, για τη δημιουργία ρεαλιστικών ψεύτικων εικόνων προφίλ, ενισχύοντας την αξιοπιστία των ψεύτικων εταιρειών τους. Υπάρχουν επίσης στοιχεία που υποδηλώνουν δεσμούς με τη ρωσική υποδομή: οι ερευνητές εντόπισαν την επιχείρηση σε εύρη ρωσικών IP που καλύπτονται από VPN, proxies και διακομιστές VPS κοντά στα σύνορα Βόρειας Κορέας-Ρωσίας.
Δεδομένων αυτών των δεσμών, οι ειδικοί προτείνουν ότι μπορεί να υπάρχει ένα επίπεδο συνεργασίας ή τουλάχιστον κοινής χρήσης υποδομών μεταξύ Βορειοκορεατών και Ρώσων εγκληματιών στον κυβερνοχώρο, αν και η επιβεβαίωση παραμένει σε χαμηλή έως μέτρια εμπιστοσύνη.
Η μεγαλύτερη εικόνα: Wagemole και GenAI Tools
Η εκστρατεία Contagious Interview είναι μόνο μια πτυχή μιας ευρύτερης στρατηγικής της Βόρειας Κορέας. Μια άλλη τακτική, γνωστή ως Wagemole, περιλαμβάνει βορειοκορεάτες πράκτορες που χρησιμοποιούν πρόσωπα που δημιουργούνται από AI για να εξασφαλίσουν νόμιμη απασχόληση σε ξένες εταιρείες. Οι μισθοί από αυτές τις θέσεις εργασίας στη συνέχεια διοχετεύονται πίσω στο καθεστώς.
Η εταιρεία κυβερνοασφάλειας Okta προειδοποίησε ότι οι Βορειοκορεάτες διαμεσολαβητές χρησιμοποιούν όλο και περισσότερο τα εργαλεία Generative AI (GenAI) για να διαχειρίζονται χρονοδιαγράμματα, να μεταγράφουν συνομιλίες και να μεταφράζουν συνεντεύξεις σε πραγματικό χρόνο – καθιστώντας τις προσπάθειές τους διείσδυσης πιο δύσκολο να εντοπιστούν και να διαταραχθούν.
Η αυξημένη επαγρύπνηση είναι ζωτικής σημασίας
Αυτή η εκστρατεία υπογραμμίζει την αυξανόμενη πολυπλοκότητα των κυβερνοεπιθέσεων που χρηματοδοτούνται από το κράτος και την καινοτόμο χρήση της κοινωνικής μηχανικής. Οι εργαζόμενοι στον τομέα της τεχνολογίας, ειδικά εκείνοι στους τομείς των κρυπτονομισμάτων και των χρηματοοικονομικών, πρέπει να παραμείνουν προσεκτικοί όταν προσεγγίζονται ευκαιρίες εργασίας, ιδιαίτερα εάν η διαδικασία πρόσληψης φαίνεται βιαστική, ασυνήθιστη ή περιλαμβάνει λήψη άγνωστων αρχείων.
Οι οργανισμοί πρέπει να ενισχύσουν τις διαδικασίες ελέγχου των αιτούντων και την άμυνα στον κυβερνοχώρο. Σε μια εποχή όπου μια φαινομενικά αθώα προσφορά εργασίας θα μπορούσε να ανοίξει την πόρτα σε καταστροφικές μολύνσεις από κακόβουλο λογισμικό, η προσοχή δεν είναι πλέον προαιρετική – είναι απαραίτητη.
