Nordkoreanska hackare använder falska kryptoföretag och jobbintervjuer för att sprida skadlig programvara
I en rysande ny vändning på cyberbrottstaktik, utger sig nordkoreanskt länkade hackare som legitima kryptovalutakonsultföretag för att sprida skadlig programvara under falska anställningsintervjuer. Den sofistikerade kampanjen, avslöjad av cybersäkerhetsexperter, visar hur långt hotaktörer är villiga att gå för att infiltrera system och stjäla känslig information.
Table of Contents
Falska företag, verkliga hot
Enligt en djupdykningsanalys av Silent Push har hotaktörerna bakom den så kallade "Contagious Interview"-kampanjen skapat tre frontföretag:
- BlockNovas LLC (blocknovas[.]com)
- Angeloper Agency (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Dessa falska företag lockar intet ont anande offer – främst IT- och kryptovalutaproffs – till falska anställningsprocesser. Under täckmantel av kodningsuppdrag eller tekniska intervjuer luras sökande att ladda ner skadlig programvara förklädd som legitimt arbetsmaterial.
Skadliga programfamiljer som används i den här operationen inkluderar BeaverTail, InvisibleFerret och OtterCookie – var och en noggrant utformad för att äventyra ett brett utbud av system, inklusive Windows, Linux och macOS.
Ett nät av bedrägeri
Operationen Contagious Interview, som cybersäkerhetsföretag också spårar under namn som DeceptiveDevelopment och Famous Chollima, representerar en dramatisk upptrappning av nordkoreanska cyberspionagetaktik.
Hackarna stannar inte vid falska webbplatser. De har skapat bedrägliga profiler på sociala medieplattformar som Facebook, LinkedIn, Pinterest, X (tidigare Twitter), Medium, GitHub och GitLab för att lägga till legitimitet till deras verksamhet. Silent Push noterade att BlockNovas till och med tillverkade ett helt team av anställda för sin webbplats, felaktigt hävdade över 12 års erfarenhet – trots att företaget var nyregistrerat.
Detta bedrägeri kulminerar i distribution av skadlig programvara. Offren som anställts genom anställningsprocessen laddar oavsiktligt ned BeaverTail, en JavaScript-stöldare och laddare, som sedan installerar InvisibleFerret, en bakdörr som kan upprätthålla beständighet och exfiltrera känslig data. Vissa infektioner tappar också ett sekundärt skadligt verktyg som heter OtterCookie.
Infrastruktur och mål
BlockNovas stannade inte bara vid webbsidor och falska profiler. Silent Push-utredare hittade en "Status Dashboard" på en av BlockNovas underdomäner, som används för att övervaka flera domäner inblandade i attackerna. Dessutom hittades mail.blocknovas[.]com som värd för Hashtopolis, ett verktyg för hantering av lösenordsknäckning med öppen källkod.
De falska rekryteringsdreven har redan skördat offer. I ett bekräftat fall från september 2024 fick en utvecklare sin MetaMask kryptovaluta-plånbok äventyrad.
En annan alarmerande upptäckt involverade en webbplats som heter Kryptoneer (värd på attisscmo[.]com), som erbjuder tjänster för att koppla ihop kryptovaluta-plånböcker – ett drag som möjligen syftar till att rikta in sig på blockkedjeanvändare, särskilt de som är anslutna till Sui-blockkedjan.
Tillslag och internationella konsekvenser
Sedan den 23 april 2025 har amerikanska brottsbekämpande myndigheter, inklusive FBI, beslagtagit BlockNovas-domänen, med hänvisning till dess roll i att sprida skadlig programvara under täckmantel av falska jobbmöjligheter.
Utöver de tekniska utnyttjandena har forskare noterat hotaktörernas användning av AI-drivna verktyg som Remaker för att skapa realistiska falska profilbilder, vilket ökar trovärdigheten för deras falska företag. Det finns också bevis som tyder på kopplingar till rysk infrastruktur: utredare spårade operationen tillbaka till ryska IP-intervall maskerade av VPN, proxyservrar och VPS-servrar nära gränsen mellan Nordkorea och Ryssland.
Med tanke på dessa band föreslår experter att det kan finnas en nivå av samarbete eller åtminstone infrastrukturdelning mellan nordkoreanska och ryska cyberkriminella, även om bekräftelsen fortfarande är låg till medelhög förtroende.
Den större bilden: Wagemole och GenAI Tools
Kampanjen Contagious Interview är bara en aspekt av en bredare nordkoreansk strategi. En annan taktik, känd som Wagemole, involverar nordkoreanska operatörer som använder AI-genererade personas för att säkra legitim anställning hos utländska företag. Löner från dessa jobb skickas sedan tillbaka till regimen.
Cybersäkerhetsföretaget Okta varnade för att nordkoreanska facilitatorer i allt högre grad använder Generative AI (GenAI)-verktyg för att hantera scheman, transkribera konversationer och översätta intervjuer i realtid – vilket gör deras infiltrationsansträngningar svårare att upptäcka och störa.
Ökad vaksamhet är avgörande
Denna kampanj lyfter fram den växande sofistikeringen av statligt sponsrade cyberattacker och den innovativa användningen av social ingenjörskonst. Teknikarbetare, särskilt de inom kryptovaluta och finanssektorn, måste förbli övervaka när de kontaktas med jobbmöjligheter, särskilt om anställningsprocessen verkar förhastad, ovanlig eller involverar nedladdning av okända filer.
Organisationer måste stärka sina processer för screening av sökande och cybersäkerhetsförsvar. I en tid där ett till synes oskyldigt jobberbjudande kunde öppna dörren till förödande malwareinfektioner, är försiktighet inte längre valfritt – det är viktigt.
