Nordkoreanske hackere bruger falske jobinterviews til at inficere udviklere med malware på tværs af platforme

Nordkoreanske trusselsaktører har fundet en snedig måde at målrette mod softwareudviklere: falske jobsamtaler. Denne lumske metode er designet til at lokke intetanende jobsøgende i teknologiindustrien til at downloade malware, der kompromitterer både deres sikkerhed og deres systemer. Sikkerhedsforskere har observeret denne kampagne, sporet som CL-STA-0240 og kendt som "Contagious Interview", hvor hackere poserer som potentielle arbejdsgivere på jobplatforme.

Denne operation er kommet frem i lyset gennem en rapport fra Palo Alto Networks' Unit 42. Den blev først afsløret i november 2023, og afslørede, at cyberkriminelle bruger opdaterede versioner af to malware-familier: BeaverTail og InvisibleFerret.

Hvordan angrebet udvikler sig

Det første kontaktpunkt sker på jobsøgningsplatforme, hvor nordkoreanske hackere, der udgiver sig for at være rekrutterere, når ud til softwareudviklere. De arrangerer online jobsamtaler og vinder deres ofres tillid ved at efterligne legitime ansættelsesprocesser. Under disse såkaldte interviews overbeviser hackerne udviklerne om at downloade, hvad de hævder at være en kodningsopgave eller andet arbejdsrelateret materiale. Uden at offeret ved det, indeholder disse downloads skadelig software.

Infektionsprocessen starter med BeaverTail-downloaderen, som er en informationstjælende malware rettet mod både Windows- og macOS-systemer. BeaverTail fungerer som en bro til en mere farlig anden fase af malware: InvisibleFerret-bagdøren, som er baseret på Python-programmeringssproget. På trods af offentlighedens bevidsthed om denne operation, tyder nylige rapporter på, at hackerne bag denne kampagne fortsætter med at opleve succes ved at narre udviklere til ubevidst at udføre ondsindet kode.

Cross-Platform Malware er et udviklers mareridt

En dybere analyse udført af cybersikkerhedseksperter som Patrick Wardle og Group-IB viser, hvor vidtrækkende denne trussel er. Disse angribere bruger falske videokonferenceapplikationer – såsom efterligninger af MiroTalk og FreeConference.com – til at infiltrere systemer. Disse falske applikationer er udviklet ved hjælp af Qt, en populær ramme, der giver mulighed for krydskompilering på tværs af forskellige platforme, inklusive Windows og macOS.

Den Qt-baserede version af BeaverTail er ikke kun begrænset til én funktion. Det har evnen til at stjæle browseradgangskoder samt data fra cryptocurrency-punge, hvilket gør det særligt farligt. Det eksfiltrerer data til en hacker-kontrolleret server, hvilket giver cyberkriminelle adgang til følsomme personlige og økonomiske oplysninger.

Efter at BeaverTail har gjort sit, installerer den InvisibleFerret, som er i stand til langt mere destruktiv aktivitet. Denne malware omfatter to kritiske komponenter:

  1. En primær nyttelast designet til fjernbetjening, keylogging, fingeraftryk af det inficerede system og endda download af fjernskrivebordsværktøjer.
  2. En browser-tyveri , som udtrækker browserlegitimationsoplysninger, herunder brugernavne, adgangskoder og endda gemte kreditkortoplysninger.

Økonomisk motivation bag angrebene

Nordkoreanske trusselsaktører har længe været forbundet med økonomisk motiveret cyberkriminalitet, og de bruger ofte disse ulovlige gevinster til at støtte regimet. Enhed 42 antyder, at denne særlige kampagne også kan have et stærkt økonomisk motiv, især i betragtning af malwarens evne til at stjæle fra 13 forskellige cryptocurrency-punge .

Ved at bruge værktøjer, der kan høste værdifulde aktiver såsom cryptocurrency, browser-legitimationsoplysninger og endda fjernadgang, kan hackerne potentielt suge store summer af penge. Økonomisk motiverede cyberangreb, som dette, er en hjørnesten i Nordkoreas strategi for at omgå internationale sanktioner og finansiere dets regeringsoperationer.

Beskyt dig selv som udvikler

Stigningen af cyberangreb via falske jobsamtaler signalerer et bekymrende skift i, hvordan hackere retter sig mod udviklere og det bredere teknologiske samfund. Her er nogle trin til at være sikker:

  • Bekræft rekrutterere : Krydstjek altid identiteten på rekrutterere eller arbejdsgivere, der kontakter dig. En simpel LinkedIn-søgning eller et besøg på virksomhedens officielle hjemmeside kan hjælpe dig med at bekræfte, om tilbuddet er ægte.
  • Vær forsigtig med downloads : Download aldrig filer fra en kilde, der ikke er tillid til, især hvis de kommer fra en platform eller en person, du ikke har verificeret.
  • Brug stærke sikkerhedsforanstaltninger : Hold din antivirus- og malwaredetektionssoftware opdateret. Overvej at bruge krypteret kommunikation og sandboxing-værktøjer, når du interagerer med ukendte enheder online.
  • Overvåg kryptopunge : Hvis du er involveret i kryptovaluta, skal du være særlig opmærksom. Brug tegnebøger med stærke sikkerhedsfunktioner, og overvåg transaktioner nøje for enhver mistænkelig aktivitet.

Konklusion

Brugen af falske jobinterviews af nordkoreanske hackere til at sprede malware er en rystende påmindelse om, hvor kreative og farlige cyberkriminelle kan være. Med angreb rettet mod både Windows- og macOS-platforme er ingen virkelig sikret mod disse trusler. Især udviklere bør være i høj beredskab, da hackere fortsætter med at udnytte jobsøgningsprocessen til at stjæle følsomme data og finansielle aktiver. At forblive informeret, årvågen og forberedt er nøglen til at beskytte dig selv i denne nye æra af cyberkriminalitet.

I Zane
October 9, 2024
Computer Security
Dansk
October 9, 2024
Computer Security

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

12 days siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.