Så här träffar nordkoreanska hackare bakom bybit-rofiet på $1,4 miljarder krypto-utvecklare

En nordkoreansk hackargrupp har riktat in sig på utvecklare av kryptovaluta via en ny jobbrekryteringsbedrägeri som injicerar skadlig programvara som stjäl information i offrets system.

Enligt en färsk rapport från cybersäkerhetsföretaget Palo Alto Networks Unit 42 har den skändliga hackargruppen, känd via alias som Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor eller UNC4899, poserat som rekryterare på LinkedIn.

När kontakt väl har tagits lockas utvecklare in med falska jobberbjudanden, följt av ett till synes rutinmässigt kodningstest.

Men gömd inom dessa GitHub-värdade projekt är en smygande skadlig programvara verktygslåda som tyst infekterar offrets maskin.

Inledningsvis uppmanas kandidater att köra en fil som vanligtvis ser ut som en enkel programmeringsuppgift, men när den väl körs på offrets system, kör den en skadlig programvara som heter RN Loader som skickar systeminformation tillbaka till angriparen.

Om målet checkar ut, distribueras en nyttolast i andra steg, RN Stealer, som kan samla in allt från SSH-nycklar och iCloud-data till Kubernetes och AWS-konfigurationsfiler.

Det som gör den här kampanjen särskilt farlig är dess smygande natur, eftersom skadlig programvara bara aktiveras under vissa förhållanden, såsom IP-adress eller systeminställningar, vilket gör det svårare för forskare att upptäcka.

Den körs också helt i minnet och lämnar väldigt lite digitalt fotavtryck.

Slow Pisces har kopplats till högprofilerade stölder, inklusive Bybit-utnyttjandet på 1,4 miljarder dollar tidigare i år.

Gruppens taktik har inte förändrats mycket över tiden, vilket enhet 42 säger kan bero på hur framgångsrika och målinriktade deras metoder är.

"Före Bybit-hacket fanns det väldigt lite detaljerad medvetenhet och rapportering om kampanjen i öppen källkod, och så det är möjligt att hotaktörerna inte kände något behov av att ändra sig", enligt Andy Piazza, Senior Director of Threat Intelligence på Unit 42.

Snarare förbättrade hotaktörer till och med sin operativa säkerhet enligt forskare och sågs använda YAML- och JavaScript-malltrick för att dölja skadliga kommandon.

"Fokus på individer som kontaktas via LinkedIn, i motsats till breda nätfiskekampanjer, gör det möjligt för gruppen att strikt kontrollera de senare stadierna av kampanjen och leverera nyttolaster endast till förväntade offer", tillade säkerhetsforskaren Prashil Pattni.

Nordkoreanska hackare riktar sig till IT-proffs

Nordkoreas hackningsgrupper har varit ansvariga för några av de största cyberrån i kryptosektorn.

Data från Arkham Intelligence visar att en plånbok kopplad till Nordkoreas Lazarus Group innehöll över 800 miljoner dollar i Bitcoin vid tidpunkten för rapporteringen.

En rapport från Google Threat Intelligence Group som släpptes tidigare denna månad noterade en ökning av nordkoreanska IT-arbetare som infiltrerade teknik- och kryptoföretag, särskilt över hela Europa.

Förra året rapporterade Invezz att två hackningsgrupper med alias Sapphire Sleet och Ruby Sleet var ansvariga för betydande förluster i kryptoutrymmet.

Dåliga skådespelare visade sig utge sig för att vara rekryterare, investerare och till och med anställda i riktade företag för att glida förbi initiala säkerhetskontroller och plantera skadlig programvara.

Sapphire Sleet fokuserade hårt på kryptoföretag och hade enligt uppgift lyckats föra tillbaka minst 10 miljoner dollar tillbaka till den nordkoreanska regimen inom sex månader.