Hakerzy z Korei Północnej wykorzystują fałszywe firmy kryptograficzne i rozmowy kwalifikacyjne do rozprzestrzeniania złośliwego oprogramowania
W przerażającym nowym zwrocie akcji w taktyce cyberprzestępczości hakerzy powiązani z Koreą Północną podszywają się pod legalne firmy konsultingowe kryptowalutowe, aby rozprzestrzeniać złośliwe oprogramowanie podczas fałszywych rozmów kwalifikacyjnych. Wyrafinowana kampania, odkryta przez ekspertów ds. cyberbezpieczeństwa, pokazuje, jak daleko są gotowi posunąć się aktorzy zagrożeń, aby infiltrować systemy i kraść poufne informacje.
Table of Contents
Fałszywe firmy, prawdziwe zagrożenia
Według dogłębnej analizy przeprowadzonej przez Silent Push, osoby stojące za kampanią zwaną „Contagious Interview” utworzyły trzy firmy przykrywki:
- BlockNovas LLC (blocknovas[.]com)
- Agencja Angeloper (angeloper[.]com)
- SoftGlide LLC (softglide[.]co)
Te fałszywe firmy wabią niczego niepodejrzewające ofiary — głównie specjalistów IT i kryptowalut — do fałszywych procesów rekrutacyjnych. Pod pozorem zadań związanych z kodowaniem lub rozmów kwalifikacyjnych o charakterze technicznym kandydaci są oszukiwani i pobierają złośliwe oprogramowanie zamaskowane jako legalne materiały robocze.
Rodziny złośliwego oprogramowania wdrożone w tej operacji obejmują BeaverTail, InvisibleFerret i OtterCookie — każda z nich została starannie opracowana w celu zainfekowania szerokiej gamy systemów, w tym Windows, Linux i macOS.
Sieć oszustw
Operacja Contagious Interview, którą firmy zajmujące się cyberbezpieczeństwem monitorują również pod nazwami DeceptiveDevelopment i Famous Chollima, stanowi drastyczną eskalację północnokoreańskich taktyk cybernetycznego szpiegostwa.
Hakerzy nie zatrzymują się na fałszywych stronach internetowych. Stworzyli fałszywe profile na platformach społecznościowych, takich jak Facebook, LinkedIn, Pinterest, X (dawniej Twitter), Medium, GitHub i GitLab, aby dodać legitymacji swoim działaniom. Silent Push zauważył, że BlockNovas nawet stworzył cały zespół pracowników dla swojej strony internetowej, fałszywie twierdząc, że ma ponad 12 lat doświadczenia — pomimo że firma jest nowo zarejestrowana.
To oszustwo kończy się wdrożeniem złośliwego oprogramowania. Ofiary wybrane w procesie rekrutacji nieumyślnie pobierają BeaverTail, program do kradzieży i ładowania JavaScript, który następnie instaluje InvisibleFerret, tylne wejście zdolne do utrzymywania trwałości i eksfiltracji poufnych danych. Niektóre infekcje upuszczają również dodatkowe narzędzie złośliwego oprogramowania o nazwie OtterCookie.
Infrastruktura i cele
BlockNovas nie zatrzymał się tylko na stronach internetowych i fałszywych profilach. Śledczy Silent Push znaleźli „Panel stanu” na jednej z subdomen BlockNovas, używany do monitorowania wielu domen zaangażowanych w ataki. Ponadto odkryto, że mail.blocknovas[.]com hostuje Hashtopolis, narzędzie do zarządzania łamaniem haseł typu open source.
Fałszywe kampanie rekrutacyjne już pochłonęły ofiary. W jednym potwierdzonym przypadku z września 2024 r. deweloper miał naruszony portfel kryptowalutowy MetaMask.
Kolejne niepokojące odkrycie dotyczyło witryny o nazwie Kryptoneer (udostępnionej na attisscmo[.]com), oferującej usługi łączenia portfeli kryptowalut — działanie to prawdopodobnie miało na celu dotarcie do użytkowników blockchain, w szczególności tych podłączonych do blockchain Sui.
Represje i międzynarodowe implikacje
23 kwietnia 2025 r. amerykańskie organy ścigania, w tym FBI, przejęły domenę BlockNovas, powołując się na jej rolę w rozpowszechnianiu złośliwego oprogramowania pod przykrywką fałszywych ofert pracy.
Oprócz technicznych exploitów badacze zauważyli, że aktorzy zagrożeń wykorzystują narzędzia oparte na sztucznej inteligencji, takie jak Remaker, do generowania realistycznych fałszywych zdjęć profilowych, zwiększając wiarygodność ich fałszywych firm. Istnieją również dowody sugerujące powiązania z rosyjską infrastrukturą: śledczy prześledzili operację do rosyjskich zakresów IP maskowanych przez VPN-y, proxy i serwery VPS w pobliżu granicy Korei Północnej z Rosją.
Biorąc pod uwagę te powiązania, eksperci sugerują, że może istnieć pewien poziom współpracy lub przynajmniej dzielenia się infrastrukturą między północnokoreańskimi i rosyjskimi cyberprzestępcami, choć pewność co do potwierdzonych informacji pozostaje niska lub średnia.
Szerszy obraz: narzędzia Wagemole i GenAI
Kampania Contagious Interview to tylko jeden aspekt szerszej strategii Korei Północnej. Inna taktyka, znana jako Wagemole, polega na tym, że północnokoreańscy agenci używają person generowanych przez AI, aby zapewnić sobie legalne zatrudnienie w zagranicznych firmach. Wynagrodzenia z tych stanowisk są następnie przekazywane z powrotem do reżimu.
Firma zajmująca się cyberbezpieczeństwem Okta ostrzegła, że północnokoreańscy mediatorzy coraz częściej korzystają z narzędzi Generative AI (GenAI) do zarządzania harmonogramami, przepisywania rozmów i tłumaczenia wywiadów w czasie rzeczywistym — co utrudnia wykrycie i udaremnienie ich prób infiltracji.
Wzmożona czujność jest kluczowa
Ta kampania podkreśla rosnącą wyrafinowanie cyberataków sponsorowanych przez państwo i innowacyjne wykorzystanie inżynierii społecznej. Pracownicy sektora technologicznego, zwłaszcza ci z sektora kryptowalut i finansowego, muszą zachować nadmierną czujność, gdy zwracają się do nich z ofertami pracy, szczególnie jeśli proces rekrutacji wydaje się pospieszny, nietypowy lub wiąże się z pobieraniem nieznanych plików.
Organizacje muszą wzmocnić swoje procesy kontroli kandydatów i obronę cyberbezpieczeństwa. W erze, w której pozornie niewinna oferta pracy może otworzyć drzwi do niszczycielskich infekcji malware, ostrożność nie jest już opcjonalna — jest niezbędna.
