Her er hvordan nordkoreanske hackere bak Bybit-ranet på 1,4 milliarder dollar treffer kryptoutviklere

En nordkoreansk hackergruppe har vært rettet mot utviklere av kryptovaluta via en ny jobbrekruttering-svindel som injiserer skadelig programvare som stjeler informasjon i offerets system.

I følge en fersk rapport fra nettsikkerhetsfirmaet Palo Alto Networks 'Unit 42, har den ondsinnede hackergruppen, kjent via aliaser som Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor eller UNC4899, posert som rekrutterere på LinkedIn.

Når kontakten er tatt, lokkes utviklerne inn med falske jobbtilbud, etterfulgt av en tilsynelatende rutinemessig kodetest.

Men gjemt i disse GitHub-vertsbaserte prosjektene er en tyverisk verktøysett for skadelig programvare som i det stille infiserer offerets maskin.

Til å begynne med blir kandidater bedt om å kjøre en fil som vanligvis ser ut som en enkel programmeringsoppgave, men når den er utført på offerets system, kjører den en skadelig programvare kalt RN Loader som sender systeminformasjon tilbake til angriperen.

Hvis målet sjekker ut, blir en nyttelast i andre trinn, RN Stealer, distribuert, som kan samle opp alt fra SSH-nøkler og iCloud-data til Kubernetes og AWS-konfigurasjonsfiler.

Det som gjør denne kampanjen spesielt farlig, er dens snikende natur, ettersom skadelig programvare bare aktiveres under visse forhold, for eksempel IP-adresse eller systeminnstillinger, noe som gjør det vanskeligere for forskere å oppdage.

Den kjører også helt i minnet, og etterlater svært lite digitalt fotavtrykk.

Slow Pisces har vært knyttet til høyprofilerte tyverier, inkludert Bybit-utnyttelsen på 1,4 milliarder dollar tidligere i år.

Gruppens taktikk har ikke endret seg mye over tid, noe enhet 42 sier kan skyldes hvor vellykkede og målrettede metodene deres er.

"Før Bybit-hacket var det svært lite detaljert bevissthet og rapportering av kampanjen i åpen kildekode, og det er derfor mulig at trusselaktørene ikke følte noe behov for å endre seg," ifølge Andy Piazza, Senior Director of Threat Intelligence ved Unit 42.

Snarere forbedret trusselaktører til og med sin operasjonelle sikkerhet ifølge forskere, og ble sett ved å bruke YAML- og JavaScript-maltriks for å skjule ondsinnede kommandoer.

"Å fokusere på individer som kontaktes via LinkedIn, i motsetning til brede phishing-kampanjer, gjør at gruppen kan kontrollere de senere stadiene av kampanjen og levere nyttelast kun til forventede ofre," la sikkerhetsforsker Prashil Pattni til.

Nordkoreanske hackere retter seg mot IT-fagfolk

Nord-Koreas hackergrupper har vært ansvarlige for noen av de største cyberranene i kryptosektoren.

Data fra Arkham Intelligence viser at en lommebok knyttet til Nord-Koreas Lazarus Group inneholdt Bitcoin verdt over 800 millioner dollar på rapporteringstidspunktet.

En rapport fra Google Threat Intelligence Group som ble utgitt tidligere denne måneden, bemerket en økning i nordkoreanske IT-arbeidere som infiltrerer teknologi- og kryptofirmaer, spesielt over hele Europa.

I fjor rapporterte Invezz at to hackergrupper med aliaser Sapphire Sleet og Ruby Sleet var ansvarlige for betydelige tap i kryptoområdet.

Dårlige aktører ble funnet å utgi seg for å utgi seg for rekrutterere, investorer og til og med ansatte i målrettede selskaper for å slippe forbi innledende sikkerhetskontroller og plante skadelig programvare.

Sapphire Sleet fokuserte tungt på kryptofirmaer og hadde angivelig klart å sende minst 10 millioner dollar tilbake til det nordkoreanske regimet innen seks måneder.