Veja como os hackers norte-coreanos por trás do roubo de US$ 1,4 bilhão da Bybit estão atacando desenvolvedores de criptomoedas.

Um grupo de hackers norte-coreanos tem atacado desenvolvedores de criptomoedas por meio de um novo golpe de recrutamento de emprego que injeta malware roubador de informações no sistema da vítima.

De acordo com um relatório recente da empresa de cibersegurança Palo Alto Networks' Unit 42, o grupo de hackers nefasto, conhecido por pseudônimos como Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor ou UNC4899, tem se passado por recrutadores no LinkedIn.

Assim que o contato é estabelecido, os desenvolvedores são atraídos com ofertas de emprego falsas, seguidas por um teste de codificação aparentemente rotineiro.

Mas escondido nesses projetos hospedados no GitHub está um kit de ferramentas de malware roubador que infecta silenciosamente a máquina da vítima.

Inicialmente, os candidatos são solicitados a executar um arquivo que geralmente se parece com uma tarefa de programação simples, mas, uma vez executado no sistema da vítima, ele executa um malware chamado RN Loader que envia informações do sistema de volta ao atacante.

Se o alvo for confirmado, uma carga útil de segunda etapa, o RN Stealer, é implantada, capaz de coletar tudo, desde chaves SSH e dados do iCloud até arquivos de configuração do Kubernetes e da AWS.

O que torna essa campanha especialmente perigosa é sua natureza furtiva, pois o malware só se ativa sob certas condições, como endereço IP ou configurações do sistema, dificultando sua detecção pelos pesquisadores.

Ele também roda inteiramente na memória, deixando uma pegada digital muito pequena.

O lento Pisces foi ligado a roubos de alto perfil, incluindo a exploração de US$ 1,4 bilhão da Bybit no início deste ano.

As táticas do grupo não mudaram muito ao longo do tempo, o que, segundo a Unidade 42, pode ser devido ao sucesso e à precisão de seus métodos.

"Antes do ataque ao Bybit, havia muito pouca conscientização e relatos detalhados da campanha em fontes abertas, então é possível que os agentes de ameaça não tenham sentido necessidade de mudar", de acordo com Andy Piazza, Diretor Sênior de Inteligência de Ameaças da Unit 42.

Pelo contrário, os agentes de ameaças até mesmo melhoraram sua segurança operacional, de acordo com pesquisadores, e foram vistos usando truques de modelagem YAML e JavaScript para ocultar comandos maliciosos.

"Concentrar-se em indivíduos contatados via LinkedIn, em vez de campanhas de phishing em massa, permite que o grupo controle rigorosamente as etapas posteriores da campanha e entregue payloads apenas às vítimas esperadas", acrescentou o pesquisador de segurança Prashil Pattni.

Hackers norte-coreanos atacam profissionais de TI

Grupos de hackers norte-coreanos foram responsáveis por alguns dos maiores roubos cibernéticos no setor de criptomoedas.

Dados da Arkham Intelligence mostram que uma carteira ligada ao grupo Lazarus da Coreia do Norte possuía mais de US$ 800 milhões em Bitcoin no momento da divulgação.

Um relatório do Google Threat Intelligence Group divulgado no início deste mês observou um aumento no número de trabalhadores de TI norte-coreanos infiltrando-se em empresas de tecnologia e criptomoedas, especialmente na Europa.

No ano passado, a Invezz relatou que dois grupos de hackers com os pseudônimos Sapphire Sleet e Ruby Sleet foram responsáveis por perdas significativas no espaço cripto.

Descobriu-se que agentes mal-intencionados estavam se passando por recrutadores, investidores e até mesmo funcionários de empresas-alvo para burlar as verificações de segurança iniciais e instalar malware.

A Sapphire Sleet concentrou-se fortemente em empresas de criptomoedas e teria conseguido desviar pelo menos US$ 10 milhões para o regime norte-coreano em seis meses.