Сообщается, что северокорейские хакеры, связанные с эксплоитом Bybit на 1,4 миллиарда долларов, атакуют разработчиков криптовалют с помощью поддельных тестов для набора персонала, зараженных вредоносным ПО.
Издание по кибербезопасности The Hacker News сообщило, что разработчики криптовалют получили задания по кодированию от злоумышленников, выдававших себя за рекрутеров. Сообщается, что проблемы с кодированием использовались для доставки вредоносного ПО ничего не подозревающим разработчикам.
Злоумышленники обращаются к разработчикам криптовалют на LinkedIn и рассказывают им якобы о возможностях трудоустройства. Убедив разработчика, хакеры отправляют вредоносный документ, содержащий подробности проблемы с кодированием на GitHub. Если файл открыть, он устанавливает вредоносное ПО для кражи, способное скомпрометировать систему жертвы.
Сообщается, что мошенничество организовано северокорейской хакерской группой, известной как Slow Pisces, также известной как Jade Sleet, Pukchong, TraderTraitor и UNC4899.
Специалисты по кибербезопасности предупреждают о мошеннических предложениях о работе
Хакан Унал, старший руководитель центра операций по безопасности в компании Cyvers, рассказал, что хакеры часто хотят украсть учетные данные разработчиков и коды доступа. Он сказал, что эти преступники часто ищут облачные конфигурации, ключи SSH, связку ключей iCloud, метаданные системы и приложений, а также доступ к кошельку.
Луис Любек, менеджер сервисных проектов в компании блокчейн-безопасности Hacken, рассказал, что они также пытаются получить доступ к ключам API или производственной инфраструктуре.
Любек сказал, что основной платформой, используемой этими злоумышленниками, является LinkedIn. Однако команда Hacken заметила, что хакеры также используют такие биржи фриланса, как Upwork и Fiverr.
«Злоумышленники выдают себя за клиентов или менеджеров по найму, предлагающих высокооплачиваемые контракты или тесты, особенно в сфере DeFi или безопасности, что кажется разработчикам надежным», — добавил Любек.
Хаято Шигекава, главный архитектор решений в Chainalysis, рассказал, что хакеры часто создают «выглядящие правдоподобно» профили сотрудников на профессиональных сетевых сайтах и сопоставляют их с резюме, которые отражают их фальшивые должности.
Они прилагают все эти усилия, чтобы в конечном итоге получить доступ к компании Web3, в которой работает их целевой разработчик.
«После получения доступа к компании хакеры выявляют уязвимости, которые в конечном итоге могут привести к эксплоитам», — добавил Шигекава.
Будьте осторожны с незапрошенными работами разработчиков
Исследователь безопасности блокчейна Hacken Егор Рудица отметил, что злоумышленники становятся более креативными, имитируя плохих трейдеров, чтобы отмыть средства, и используя психологические и технические векторы атак для использования брешей в системе безопасности.
«Это делает обучение разработчиков и операционную гигиену такими же важными, как аудит кода или защита смарт-контрактов», — сказал Рудица.
Унал сказал, что некоторые из лучших практик, которые разработчики могут использовать, чтобы не стать жертвой таких атак, включают использование виртуальных машин и песочниц для тестирования, независимую проверку предложений о работе и отказ от запуска кода от незнакомцев.
Специалист по безопасности добавил, что разработчики криптовалют должны избегать установки непроверенных пакетов и использовать хорошую защиту конечных точек.
Между тем, Любек рекомендовал обратиться к официальным каналам для проверки личности рекрутера. Он также предложил избегать хранения секретов в формате простого текста.
«Будьте особенно осторожны с предложениями «слишком хорошими, чтобы быть правдой», особенно незапрошенными», — добавил Любек.
