هکریهای کرهشمالی: سه شرکت پوسته برای سرقت اطلاعات رمزارز
مفاهیم کلیدی- هکریهای کرهشمالی سه شرکت پوستهای برای توزیع بدافزار ایجاد کردند.
- استفاده از مصاحبههای شغلی جعلی و ترفندهای کپی و پیست برای فریب توسعهدهندگان.
- FBI دامنه Blocknovas را توقیف کرده، اما SoftGlide همچنان فعال است.
هکریهای کرهشمالی سه شرکت پوستهای را برای کلاهبرداری از توسعهدهندگان رمزارز ایجاد کردند
یک زیرگروه از سازمان هکری مرتبط با کرهشمالی، لازاروس، سه شرکت پوستهای - دو تای آنها در ایالات متحده - ایجاد کردند تا به کاربران بیخبر بدافزار تحویل دهند. این سه شرکت مشاوره رمزارزی جعلی — BlockNovas، Angeloper Agency و SoftGlide — توسط گروه هکری کرهشمالی Contagious Interview برای انتشار بدافزار از طریق مصاحبههای شغلی جعلی مورد استفاده قرار میگیرند، طبق گزارشی که تحلیلگران تهدید Silent Push در ۲۴ آوریل منتشر کردند.
تحلیلگر ارشد تهدید Silent Push، زک ادواردز، در بیانیهای در ۲۴ آوریل به X اعلام کرد که دو شرکت پوستهای به عنوان کسب و کار قانونی در ایالات متحده ثبت شدهاند. او گفت: «این وبسایتها و شبکه بزرگی از حسابها در وبسایتهای استخدام و کاریابی برای فریب افراد جهت درخواست مشاغل به کار میروند. در جریان فرآیند درخواست شغل، پیغام خطایی زمانی که فرد تلاش میکند ویدیوی معرفی خود را ضبط کند، نمایش داده میشود. راهحل این موضوع یک ترفند ساده کپی و پیست است که در صورت تکمیل توسط توسعهدهنده بیخبر، منجر به نصب بدافزار میشود.»
طبق گزارش Silent Push، سه نوع بدافزار — BeaverTail، InvisibleFerret و Otter Cookie — در حال استفاده هستند. BeaverTail بدافزاری است که عمدتاً برای سرقت اطلاعات و بارگذاری مراحل بعدی بدافزار طراحی شده است. OtterCookie و InvisibleFerret به طور عمده اطلاعات حساس، از جمله کلیدهای کیف پول رمزارز و دادههای کلیپ بورد را هدف قرار میدهند.
تحلیلگران Silent Push اعلام کردند که هکرها از وبسایتهایی مانند GitHub، آگهیهای شغلی و سایتهای فریلنسری برای یافتن قربانیان استفاده میکنند. این ترفند همچنین شامل استفاده از تصاویر تولیدشده توسط هوش مصنوعی برای ایجاد پروفایلهای کارمندان شرکتهای تقلبی و دزدیدن تصاویر افراد واقعی است. ادواردز افزود: «تعداد زیادی کارمند جعلی و تصاویر دزدیدهشده از افراد واقعی در این شبکه به کار گرفته شده است. ما برخی از نمونههای واضح جعلی و تصاویر دزدیدهشده را مستندسازی کردهایم، اما مهم است بدانیم که تلاشهای جعل هویت در این کمپین متفاوت است.»
ادوارز ادامه داد: «در یکی از نمونهها، عاملان تهدید یک عکس واقعی از یک فرد واقعی را گرفته و به نظر میرسد آن را با یک ابزار تغییر تصویر مبتنی بر هوش مصنوعی تغییر دادهاند تا نسخهای متفاوت از همان عکس ایجاد کنند.
این کمپین بدافزاری از سال ۲۰۲۴ ادامه دارد و ادواردز میگوید قربانیان شناختهشدهای در سطح عمومی وجود دارند. Silent Push دو توسعهدهنده را که هدف این کمپین قرار گرفته بودند شناسایی کرد؛ از جمله یکی که گزارش شده کیف پول MetaMask او مورد نفوذ قرار گرفته است. FBI حداقل یکی از این شرکتها را تعطیل کرده است. ادواردز گفت: «اداره تحقیقات فدرال (FBI) دامنه Blocknovas را تصاحب کرده، اما SoftGlide همچنان فعال است و بخشهایی از زیرساختهای دیگر نیز به کار میروند.»
حداقل سه بنیانگذار رمزارز در ماه مارس گزارش دادند که از تلاش هکرهای ادعایی کرهشمالی برای سرقت اطلاعات حساس از طریق تماسهای جعلی Zoom جلوگیری کردهاند. گروههایی مانند گروه لازاروس، مظنونان اصلی در برخی از بزرگترین سرقتهای سایبری در وب ۳، از جمله هک ۱.۴ میلیارد دلاری Bybit و هک ۶۰۰ میلیون دلاری شبکه Ronin محسوب میشوند.
