Her er hvordan nordkoreanske hackere bag Bybit-tyveriet på $1,4 mia. rammer kryptoudviklere

En nordkoreansk hackergruppe har været rettet mod udviklere af kryptovalutaer via et nyt jobrekruttering-svindel, der injicerer informationstjælende malware ind i ofrets system.

Ifølge en nylig rapport fra cybersikkerhedsfirmaet Palo Alto Networks' Unit 42, har den uhyggelige hackergruppe, kendt via aliaser som Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor eller UNC4899, udgivet sig som rekrutterere på LinkedIn.

Når der først er taget kontakt, lokkes udviklere med falske jobtilbud, efterfulgt af en tilsyneladende rutinemæssig kodningstest.

Men skjult i disse GitHub-hostede projekter er et tyveri malware-værktøjssæt, der stille og roligt inficerer ofrets maskine.

Indledningsvis bliver kandidater bedt om at køre en fil, der typisk ligner en simpel programmeringsopgave, men når den først er udført på offerets system, kører den en malware ved navn RN Loader, der sender systemoplysninger tilbage til angriberen.

Hvis målet checker ud, implementeres en anden-trins nyttelast, RN Stealer, som kan samle alt fra SSH-nøgler og iCloud-data til Kubernetes og AWS-konfigurationsfiler.

Det, der gør denne kampagne særligt farlig, er dens snigende karakter, da malware kun aktiveres under visse forhold, såsom IP-adresse eller systemindstillinger, hvilket gør det sværere for forskere at opdage.

Det kører også helt i hukommelsen og efterlader meget lidt digitalt fodaftryk.

Slow Pisces er blevet forbundet med højt profilerede tyverier, herunder Bybit-udnyttelsen på 1,4 milliarder dollar tidligere på året.

Gruppens taktik har ikke ændret sig meget over tid, hvilket Unit 42 siger kan skyldes, hvor succesrige og målrettede deres metoder er.

"Før Bybit-hacket var der meget lidt detaljeret opmærksomhed og rapportering af kampagnen i open source, og så det er muligt, at trusselsaktørerne ikke følte noget behov for at ændre sig," ifølge Andy Piazza, Senior Director of Threat Intelligence på Unit 42.

Tværtimod forbedrede trusselsaktører endda deres operationelle sikkerhed ifølge forskere og blev set ved at bruge YAML og JavaScript skabelontricks til at skjule ondsindede kommandoer.

"At fokusere på personer, der kontaktes via LinkedIn, i modsætning til brede phishing-kampagner, giver gruppen mulighed for nøje at kontrollere de senere stadier af kampagnen og kun levere nyttelast til forventede ofre," tilføjede sikkerhedsforsker Prashil Pattni.

Nordkoreanske hackere retter sig mod it-professionelle

Nordkoreas hackergrupper har været ansvarlige for nogle af de største cybertyverier på tværs af kryptosektoren.

Data fra Arkham Intelligence viser, at en pung knyttet til Nordkoreas Lazarus Group indeholdt over 800 millioner dollars Bitcoin på tidspunktet for rapporteringen.

En rapport fra Google Threat Intelligence Group udgivet tidligere på måneden bemærkede en stigning i nordkoreanske it-arbejdere, der infiltrerede teknologi- og kryptofirmaer, især i hele Europa.

Sidste år rapporterede Invezz, at to hackergrupper med aliaser Sapphire Sleet og Ruby Sleet var ansvarlige for betydelige tab i kryptorummet.

Dårlige skuespillere viste sig at efterligne rekrutterere, investorer og endda ansatte i målrettede virksomheder for at slippe forbi indledende sikkerhedstjek og plante malware.

Sapphire Sleet fokuserede stærkt på kryptofirmaer og havde angiveligt formået at tragte mindst 10 millioner dollars tilbage til det nordkoreanske regime inden for seks måneder.