Специалисты Unit 42 из исследовательского отдела Palo Alto Networks выявили новую тактику кибергруппы Slow Pisces, предположительно связанной с властями Северной Кореи. По информации, опубликованной 14 апреля, злоумышленники выбрали в качестве мишени разработчиков, занятых в сфере цифровых валют, и стали использовать LinkedIn для установления контакта.
Суть атаки строится на имитации делового общения: злоумышленники представляются рекрутёрами и начинают переписку, интересуясь работой жертвы. Они высылают потенциальной цели документ в формате PDF, в котором указаны детали якобы открытой вакансии. Это только начало — под предлогом отбора на должность кандидату предлагается выполнить тестовое задание, состоящее из набора задач.
Журналисты подчеркнули, что часть этих заданий связана с репозиториями GitHub, которые на самом деле несут вредоносный код. Среди материалов — программные решения, внешне напоминающие легитимные проекты с открытым доступом: от трекеров рыночной статистики до сервисов прогноза погоды и мониторинга цен на криптовалюты. Но вместе с этим внедрены инфостилеры RN Loader и RN Stealer, предназначенные для кражи конфиденциальной информации.
Специалисты Unit 42 сообщили, что в кампании использовались преимущественно проекты, написанные на Python и JavaScript. Это, по мнению исследователей, обусловлено специализацией предполагаемых жертв — на фронтенде либо бэкенде. Иногда встречались и наработки на Java, хотя такие случаи были редкими. В частности, речь шла о поддельном криптоприложении jCoin, которое фигурировало в паре зафиксированных эпизодов.
Эксперты также указали на вероятность того, что существует больше вредоносных репозиториев, ориентированных на другие языки программирования, но они пока остаются вне зоны выявления.
Подчёркивается, что активная фаза этой атаки началась в 2024 году. Журналисты отметили, что попытки выдать себя за рекрутеров выглядят достаточно убедительно, а формат заданий — типично для процессов найма в ИТ-сфере. Всё это делает кампанию особенно опасной для специалистов, не подозревающих о двойных намерениях собеседников.
Оригинал публикации на сайте CISOCLUB: "Хакеры из КНДР охотятся на крипторазработчиков через LinkedIn, маскируясь под рекрутеров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.