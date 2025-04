Un gruppo di hacker nordcoreani ha preso di mira gli sviluppatori di criptovalute attraverso una nuova truffa di reclutamento di lavoro che inietta malware per il furto di informazioni nel sistema della vittima.

Secondo un recente rapporto di Unit 42, la divisione di Palo Alto Networks specializzata in sicurezza informatica, il famigerato gruppo di hacker, noto con alias come Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor o UNC4899, si è spacciato per reclutatore su LinkedIn.

Una volta stabilito il contatto, gli sviluppatori vengono attirati con false offerte di lavoro, seguite da un test di programmazione apparentemente di routine.

Ma nascosto all’interno di questi progetti ospitati su GitHub si trova un toolkit malware di tipo stealer che infetta silenziosamente la macchina della vittima.

Inizialmente, ai candidati viene chiesto di eseguire un file che in genere si presenta come un semplice compito di programmazione, ma una volta eseguito sul sistema della vittima, esegue un malware chiamato RN Loader che invia informazioni di sistema all’attaccante.

Se il bersaglio risulta valido, viene distribuito un payload di seconda fase, RN Stealer, in grado di raccogliere di tutto, dalle chiavi SSH e i dati iCloud ai file di configurazione di Kubernetes e AWS.

Ciò che rende questa campagna particolarmente pericolosa è la sua natura furtiva, poiché il malware si attiva solo in determinate condizioni, come l’indirizzo IP o le impostazioni di sistema, rendendone più difficile la rilevazione da parte dei ricercatori.

Inoltre, funziona interamente in memoria, lasciando una traccia digitale minima.

Il lento Pisces è stato collegato a furti di alto profilo, tra cui l’ exploit di Bybit da 1,4 miliardi di dollari all’inizio di quest’anno.

Le tattiche del gruppo non sono cambiate molto nel tempo, il che, secondo Unit 42, potrebbe essere dovuto all’efficacia e alla precisione dei loro metodi.

“Prima dell’attacco a Bybit, la campagna era stata poco documentata e segnalata in fonti aperte, quindi è possibile che gli autori della minaccia non abbiano sentito la necessità di cambiare”, secondo Andy Piazza, Senior Director of Threat Intelligence di Unit 42.

Anzi, secondo i ricercatori, gli attori delle minacce hanno persino migliorato la loro sicurezza operativa, utilizzando tecniche di templating YAML e JavaScript per nascondere comandi dannosi.

“Concentrandosi su individui contattati tramite LinkedIn, invece che su campagne di phishing di massa, il gruppo riesce a controllare attentamente le fasi successive della campagna e a distribuire i payload solo alle vittime previste”, ha aggiunto il ricercatore di sicurezza Prashil Pattni.

Hacker nordcoreani prendono di mira i professionisti IT

Gruppi di hacker nordcoreani sono stati responsabili di alcune delle più grandi rapine informatiche nel settore delle criptovalute.

I dati di Arkham Intelligence mostrano che un portafoglio collegato al gruppo Lazarus della Corea del Nord deteneva oltre 800 milioni di dollari in Bitcoin al momento della segnalazione.

Un rapporto del Google Threat Intelligence Group pubblicato all’inizio di questo mese ha evidenziato un aumento del numero di lavoratori IT nordcoreani che si infiltrano in aziende tecnologiche e di criptovalute, soprattutto in Europa.

L’anno scorso, Invezz ha riportato che due gruppi di hacker con gli alias Sapphire Sleet e Ruby Sleet erano responsabili di perdite significative nel settore delle criptovalute.

Si è scoperto che malintenzionati si spacciavano per reclutatori, investitori e persino dipendenti di aziende prese di mira per superare i controlli di sicurezza iniziali e installare malware.

Sapphire Sleet si concentrò fortemente sulle aziende di criptovalute e, secondo quanto riferito, riuscì a dirottare almeno 10 milioni di dollari al regime nordcoreano in sei mesi.