Az észak-koreai hackerek hamis kriptográfiai cégeket és állásinterjúkat használnak rosszindulatú programok terjesztésére
A kiberbűnözés taktikájának borzasztó új fordulataként az észak-koreai kötődésű hackerek legitim kriptovaluta tanácsadó cégeknek adják ki magukat, akik rosszindulatú programokat terjesztenek a hamis állásinterjúk során. A kiberbiztonsági szakértők által feltárt kifinomult kampány megmutatja, milyen messzire hajlandók elmenni a fenyegetés szereplői, hogy behatoljanak a rendszerekbe és ellopják az érzékeny információkat.
Table of Contents
Álcégek, valós fenyegetések
A Silent Push mélyreható elemzése szerint az úgynevezett "fertőző interjú" kampány mögött fenyegető szereplők három fedőcéget hoztak létre:
- BlockNovas LLC (blocknovas[.]com)
- Angeloper Ügynökség (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Ezek az álvállalkozások a gyanútlan áldozatokat – többnyire informatikai és kriptovaluta szakembereket – csalják a hamis felvételi folyamatokba. A kódolási feladatok vagy a technikai interjúk leple alatt a jelentkezőket ráveszik arra, hogy legális munkaanyagnak álcázott rosszindulatú programokat töltsenek le.
Az ebben a műveletben telepített rosszindulatú programcsaládok közé tartozik a BeaverTail, az InvisibleFerret és az OtterCookie – mindegyik gondosan kidolgozott, hogy kompromittálja a rendszerek széles körét, beleértve a Windowst, a Linuxot és a macOS-t.
A megtévesztés hálója
A Contagious Interview művelet, amelyet a kiberbiztonsági cégek is nyomon követnek olyan neveken, mint a DeceptiveDevelopment és a Famous Chollima, drámai eszkalációt jelent az észak-koreai kiberkémkedési taktikákban.
A hackerek nem állnak meg a hamis weboldalakon. Hamis profilokat hoztak létre olyan közösségi média platformokon, mint a Facebook, LinkedIn, Pinterest, X (korábban Twitter), Medium, GitHub és GitLab, hogy legitimebbé tegyék működésüket. A Silent Push megjegyezte, hogy a BlockNovas még egy egész csapatnyi alkalmazottat is összekovácsolt a weboldalához, hamisan állítva több mint 12 éves tapasztalatot – annak ellenére, hogy a céget újonnan regisztrálták.
Ez a megtévesztés rosszindulatú programok telepítésében csúcsosodik ki. A felvételi eljárás során megcélzott áldozatok véletlenül letöltik a BeaverTailt, egy JavaScript-lopót és betöltőt, amely aztán telepíti az InvisibleFerret-et, egy hátsó ajtót, amely képes fenntartani a kitartást és kiszűrni az érzékeny adatokat. Egyes fertőzések az OtterCookie nevű másodlagos rosszindulatú szoftvert is kidobják.
Infrastruktúra és célok
A BlockNovas nem csak a webhelyeken és a hamis profiloknál állt meg. A Silent Push nyomozói a BlockNovas egyik aldomainjén találtak egy "Status Dashboard"-ot, amely a támadásokban érintett több tartomány megfigyelésére szolgál. Ezen túlmenően a mail.blocknovas[.]com a Hashtopolist, egy nyílt forráskódú jelszófeltörő kezelőeszközt kínál.
A hamis toborzási akciók már áldozatokat követeltek. Egy megerősített esetben 2024 szeptemberében egy fejlesztőnek veszélybe került a MetaMask kriptovaluta pénztárcája.
Egy másik riasztó felfedezés a Kryptoneer nevű webhelyre vonatkozik (az attisscmo[.]com-on található), amely szolgáltatásokat kínál kriptovaluta pénztárcák összekapcsolására – ez a lépés valószínűleg a blokklánc felhasználóit célozta meg, különösen a Sui blokklánchoz csatlakozókat.
Letörés és nemzetközi vonatkozások
2025. április 23-tól az amerikai bűnüldöző szervek, köztük az FBI, lefoglalták a BlockNovas domaint, arra hivatkozva, hogy a rosszindulatú programok terjesztői szerepet játszottak hamis munkalehetőségek leple alatt.
A technikai kizsákmányolásokon túl a kutatók felfigyeltek arra, hogy a fenyegetés szereplői mesterséges intelligencia-alapú eszközöket, például a Remakert használnak valósághű hamis profilképek létrehozására, növelve ezzel hamis cégeik hitelességét. Vannak bizonyítékok is, amelyek az orosz infrastruktúrával való kapcsolatokra utalnak: a nyomozók a műveletet az észak-koreai-orosz határ közelében lévő VPN-ek, proxy-k és VPS-szerverek által elfedett orosz IP-tartományokra vezették vissza.
Tekintettel ezekre a kapcsolatokra, a szakértők azt sugallják, hogy az észak-koreai és orosz kiberbűnözők között bizonyos szintű együttműködés vagy legalább infrastruktúra-megosztás létezhet, bár a megerősítés továbbra is alacsony vagy közepes bizalommal jár.
A nagyobb kép: Wagemole és GenAI Tools
A Fertőző interjú kampány csak egy oldala egy szélesebb észak-koreai stratégiának. Egy másik Wagemole-nak nevezett taktika szerint az észak-koreai alkalmazottak mesterséges intelligencia által generált személyeket használnak, hogy törvényes foglalkoztatást biztosítsanak külföldi cégeknél. Az ezekből a munkákból származó fizetéseket azután visszavezetik a rezsimbe.
Az Okta kiberbiztonsági cég arra figyelmeztetett, hogy az észak-koreai facilitátorok egyre gyakrabban használnak Generatív AI (GenAI) eszközöket az ütemezések kezeléséhez, a beszélgetések átírásához és az interjúk valós idejű fordításához, ami megnehezíti beszivárgási erőfeszítéseik észlelését és megzavarását.
A fokozott éberség kulcsfontosságú
Ez a kampány rávilágít az államilag támogatott kibertámadások növekvő kifinomultságára és a social engineering innovatív alkalmazására. A műszaki dolgozóknak, különösen a kriptovaluta és a pénzügyi szektorban dolgozóknak, rendkívül ébernek kell maradniuk, amikor álláslehetőségekkel keresik fel őket, különösen akkor, ha a felvételi folyamat rohamosnak, szokatlannak tűnik, vagy ismeretlen fájlok letöltésével jár.
A szervezeteknek meg kell erősíteniük a pályázók szűrési folyamatait és a kiberbiztonsági védelmet. Egy olyan korszakban, amikor egy ártatlannak tűnő állásajánlat pusztító kártevő-fertőzések előtt nyithatja meg az ajtót, az óvatosság már nem kötelező – ez elengedhetetlen.
