Северокорейские хакеры используют поддельные криптокомпании и собеседования для распространения вредоносного ПО
В леденящем душу новом повороте в тактике киберпреступности хакеры, связанные с Северной Кореей, выдают себя за настоящие консалтинговые компании по криптовалютам, чтобы распространять вредоносное ПО во время поддельных собеседований. Сложная кампания, раскрытая экспертами по кибербезопасности, показывает, насколько далеко готовы зайти злоумышленники, чтобы проникнуть в системы и украсть конфиденциальную информацию.
Table of Contents
Фейковые компании, реальные угрозы
Согласно глубокому анализу, проведенному Silent Push, злоумышленники, стоящие за так называемой кампанией «Заразное интервью», создали три подставные компании:
- ООО «БлокНовас» (blocknovas[.]com)
- Агентство Angeloper (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Эти фейковые компании заманивают ничего не подозревающих жертв — в основном профессионалов в сфере ИТ и криптовалют — в фальшивые процессы найма. Под видом заданий по кодированию или технических собеседований кандидатов обманывают, заставляя загружать вредоносное ПО, замаскированное под законные рабочие материалы.
Семейства вредоносных программ, задействованные в этой операции, включают BeaverTail, InvisibleFerret и OtterCookie — каждое из них тщательно разработано для взлома широкого спектра систем, включая Windows, Linux и macOS.
Сеть обмана
Операция «Заразное интервью», которую компании по кибербезопасности также отслеживают под такими названиями, как DeceptiveDevelopment и Famous Chollima, представляет собой резкое обострение тактики кибершпионажа со стороны Северной Кореи.
Хакеры не останавливаются на поддельных веб-сайтах. Они создали мошеннические профили на платформах социальных сетей, таких как Facebook, LinkedIn, Pinterest, X (ранее Twitter), Medium, GitHub и GitLab, чтобы придать легитимность своим операциям. Silent Push отметил, что BlockNovas даже сфабриковал целую команду сотрудников для своего веб-сайта, ложно заявив о более чем 12-летнем опыте — несмотря на то, что компания была недавно зарегистрирована.
Этот обман достигает кульминации в развертывании вредоносного ПО. Жертвы, выбранные в процессе найма, непреднамеренно скачивают BeaverTail, похититель и загрузчик JavaScript, который затем устанавливает InvisibleFerret, бэкдор, способный сохранять устойчивость и изымать конфиденциальные данные. Некоторые инфекции также сбрасывают вторичный вредоносный инструмент под названием OtterCookie.
Инфраструктура и цели
BlockNovas не остановился только на веб-сайтах и фейковых профилях. Исследователи Silent Push обнаружили «Status Dashboard» на одном из поддоменов BlockNovas, который использовался для мониторинга нескольких доменов, вовлеченных в атаки. Кроме того, было обнаружено, что mail.blocknovas[.]com размещает Hashtopolis — инструмент управления взломом паролей с открытым исходным кодом.
Поддельные кампании по набору персонала уже привели к жертвам. В одном подтвержденном случае от сентября 2024 года криптовалютный кошелек MetaMask разработчика был скомпрометирован.
Еще одно тревожное открытие связано с сайтом Kryptoneer (размещенным на attisscmo[.]com), предлагающим услуги по подключению криптовалютных кошельков — шаг, возможно, направленный на пользователей блокчейна, особенно тех, кто подключен к блокчейну Sui.
Репрессии и международные последствия
По состоянию на 23 апреля 2025 года правоохранительные органы США, включая ФБР, арестовали домен BlockNovas, сославшись на его роль в распространении вредоносного ПО под прикрытием поддельных вакансий.
Помимо технических эксплойтов, исследователи отметили использование злоумышленниками инструментов на базе ИИ, таких как Remaker, для создания реалистичных поддельных фотографий профиля, что повышает доверие к их поддельным компаниям. Также есть доказательства, указывающие на связь с российской инфраструктурой: следователи отследили операцию до российских диапазонов IP-адресов, замаскированных VPN, прокси-серверами и VPS-серверами вблизи границы Северной Кореи и России.
Учитывая эти связи, эксперты предполагают, что между северокорейскими и российскими киберпреступниками может существовать определенный уровень сотрудничества или, по крайней мере, совместного использования инфраструктуры, хотя уровень подтверждения этой информации остается низким или средним.
Общая картина: инструменты Wagemole и GenAI
Кампания Contagious Interview — это лишь один из аспектов более широкой северокорейской стратегии. Другая тактика, известная как Wagemole, заключается в том, что северокорейские оперативники используют созданные ИИ персоны для обеспечения законной занятости в иностранных компаниях. Зарплаты с этих рабочих мест затем перечисляются обратно режиму.
Компания Okta, занимающаяся кибербезопасностью, предупредила, что северокорейские посредники все чаще используют инструменты генеративного искусственного интеллекта (GenAI) для управления расписаниями, расшифровки разговоров и перевода интервью в режиме реального времени, что затрудняет обнаружение и пресечение их попыток проникновения.
Повышенная бдительность имеет решающее значение
Эта кампания подчеркивает растущую изощренность спонсируемых государством кибератак и инновационное использование социальной инженерии. Технические работники, особенно в криптовалютном и финансовом секторах, должны сохранять повышенную бдительность, когда к ним обращаются с предложениями о работе, особенно если процесс найма кажется поспешным, необычным или подразумевает загрузку незнакомых файлов.
Организации должны усилить свои процессы проверки кандидатов и защиту кибербезопасности. В эпоху, когда, казалось бы, невинное предложение о работе может открыть дверь разрушительным вредоносным заражениям, осторожность больше не является необязательной — она необходима.
