Nordkoreanske hackere bruker falske kryptoselskaper og jobbintervjuer for å spre skadelig programvare
I en spennende ny vri på taktikk for nettkriminalitet, utgir seg for nordkoreansk-tilknyttede hackere som legitime kryptovaluta-konsulentfirmaer for å spre skadelig programvare under falske jobbintervjuer. Den sofistikerte kampanjen, avdekket av cybersikkerhetseksperter, viser hvor langt trusselaktører er villige til å gå for å infiltrere systemer og stjele sensitiv informasjon.
Table of Contents
Falske selskaper, virkelige trusler
I følge en dypdykksanalyse av Silent Push har trusselaktørene bak den såkalte «Contagious Interview»-kampanjen satt opp tre frontselskaper:
- BlockNovas LLC (blocknovas[.]com)
- Angeloper Agency (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Disse falske virksomhetene lokker intetanende ofre – for det meste IT- og kryptovaluta-fagfolk – inn i falske ansettelsesprosesser. Under dekke av kodeoppgaver eller tekniske intervjuer blir søkere lurt til å laste ned skadevare forkledd som legitimt arbeidsmateriell.
Skadevarefamiliene som er distribuert i denne operasjonen inkluderer BeaverTail, InvisibleFerret og OtterCookie – hver og en nøye laget for å kompromittere et bredt spekter av systemer, inkludert Windows, Linux og macOS.
Et vev av bedrag
Operasjonen Contagious Interview, som cybersikkerhetsfirmaer også sporer under navn som DeceptiveDevelopment og Famous Chollima, representerer en dramatisk eskalering i nordkoreanske cyberspionasjetaktikker.
Hackerne stopper ikke ved falske nettsider. De har laget uredelige profiler på tvers av sosiale medieplattformer som Facebook, LinkedIn, Pinterest, X (tidligere Twitter), Medium, GitHub og GitLab for å legge til legitimitet til virksomheten deres. Silent Push bemerket at BlockNovas til og med fabrikerte et helt team med ansatte for nettstedet sitt, og hevdet feilaktig over 12 års erfaring – til tross for at selskapet var nyregistrert.
Dette bedraget kulminerer i distribusjon av skadelig programvare. Ofre som er målrettet gjennom ansettelsesprosessen, laster utilsiktet ned BeaverTail, en JavaScript-tyver og -laster, som deretter installerer InvisibleFerret, en bakdør som er i stand til å opprettholde utholdenhet og eksfiltrere sensitive data. Noen infeksjoner slipper også et sekundært skadelig programvareverktøy kalt OtterCookie.
Infrastruktur og mål
BlockNovas stoppet ikke bare ved nettsider og falske profiler. Silent Push-etterforskere fant et "Status Dashboard" på et av BlockNovas sine underdomener, brukt til å overvåke flere domener involvert i angrepene. I tillegg ble mail.blocknovas[.]com funnet som vert for Hashtopolis, et verktøy for håndtering av passordknekking med åpen kildekode.
De falske rekrutteringskampanjene har allerede krevd ofre. I ett bekreftet tilfelle fra september 2024 fikk en utvikler sin MetaMask kryptovaluta-lommebok kompromittert.
En annen alarmerende oppdagelse involverte et nettsted kalt Kryptoneer (vertert på attisscmo[.]com), som tilbyr tjenester for å koble sammen kryptovaluta-lommebøker – et grep som muligens er rettet mot blokkjedebrukere, spesielt de som er koblet til Sui-blokkjeden.
Nedbrudd og internasjonale implikasjoner
Fra 23. april 2025 har amerikansk rettshåndhevelse, inkludert FBI, beslaglagt BlockNovas-domenet, med henvisning til dets rolle i å spre skadelig programvare under dekke av falske jobbmuligheter.
Utover de tekniske utnyttelsene, har forskere lagt merke til trusselaktørenes bruk av AI-drevne verktøy som Remaker for å generere realistiske falske profilbilder, noe som øker troverdigheten til deres falske selskaper. Det er også bevis som tyder på bånd til russisk infrastruktur: Etterforskere sporet operasjonen tilbake til russiske IP-områder maskert av VPN-er, proxy-tjenere og VPS-servere nær grensen mellom Nord-Korea og Russland.
Gitt disse båndene antyder eksperter at det kan være et nivå av samarbeid eller i det minste deling av infrastruktur mellom nordkoreanske og russiske nettkriminelle, selv om bekreftelsen fortsatt er lav til middels tillit.
Det større bildet: Wagemole og GenAI Tools
The Contagious Interview-kampanjen er bare en faset av en bredere nordkoreansk strategi. En annen taktikk, kjent som Wagemole, involverer nordkoreanske operatører som bruker AI-genererte personas for å sikre lovlig ansettelse hos utenlandske selskaper. Lønn fra disse jobbene sendes deretter tilbake til regimet.
Cybersikkerhetsfirmaet Okta advarte om at nordkoreanske tilretteleggere i økende grad bruker Generative AI (GenAI)-verktøy for å administrere tidsplaner, transkribere samtaler og oversette intervjuer i sanntid – noe som gjør infiltrasjonsarbeidet vanskeligere å oppdage og forstyrre.
Økt årvåkenhet er avgjørende
Denne kampanjen fremhever den økende sofistikeringen av statsstøttede nettangrep og nyskapende bruk av sosial ingeniørkunst. Tekniske arbeidere, spesielt de i kryptovaluta- og finanssektorene, må være hypervåkne når de blir kontaktet med jobbmuligheter, spesielt hvis ansettelsesprosessen virker forhastet, uvanlig eller involverer nedlasting av ukjente filer.
Organisasjoner må styrke sine søkerscreeningsprosesser og cybersikkerhetsforsvar. I en tid der et tilsynelatende uskyldig jobbtilbud kan åpne døren for ødeleggende skadelig programvare, er forsiktighet ikke lenger valgfritt – det er viktig.
