Gli hacker nordcoreani usano un nuovo metodo di truffa contro gli sviluppatori di criptovalute
Gli hacker nordcoreani prendono di mira gli sviluppatori di criptovalute con false offerte di lavoro e malware.
I criminali informatici nordcoreani avrebbero lanciato una nuova sofisticata campagna volta a compromettere gli sviluppatori di criptovalute attraverso offerte di lavoro fraudolente e sfide di codifica piene di malware.
La campagna è collegata al gruppo di hacker Slow Pisces, noto anche come Jade Sleet o TraderTraitor, sospettato di aver orchestrato il recente exploit di Bybit da 1,4 miliardi di dollari, riporta Cointelegraph.
Secondo un rapporto di The Hacker News, gli aggressori si spacciano per reclutatori su LinkedIn, allettando gli sviluppatori con lucrose opportunità di carriera. Una volta stabilito il contatto, alle vittime vengono inviati falsi test di codifica ospitati su GitHub. L'apertura di questi documenti innesca l'installazione di un malware stealer progettato per accedere alle credenziali degli sviluppatori, alle chiavi SSH, ai token API e ai dati del portafoglio.
Gli esperti avvertono che l'obiettivo è violare il datore di lavoro dello sviluppatore, identificare le vulnerabilità dell'infrastruttura e infine eseguire rapine di criptovalute su larga scala.
Gli esperti di sicurezza invitano alla cautela e all'igiene operativa
Hakan Unal, senior SOC lead di Cyvers, ha dichiarato che gli hacker sono interessati a compromettere i servizi cloud, estrarre i portachiavi iCloud e violare i portafogli. Luis Lubeck di Hacken ha aggiunto che gli aggressori utilizzano anche piattaforme freelance come Upwork e Fiverr per raggiungere le vittime, spesso spacciandosi per clienti che assumono ruoli di sicurezza DeFi o Web3.
"Questi attori creano intere identità false, compresi curriculum e profili professionali, per ingannare gli sviluppatori", ha dichiarato Hayato Shigekawa di Chainalysis. Una volta entrati nella rete di un'azienda, il gruppo cerca vulnerabilità sfruttabili per eseguire attacchi dannosi.
Lubeck e altri esperti raccomandano agli sviluppatori di rimanere scettici nei confronti dei lavori non richiesti, in particolare quelli che offrono compensi insolitamente elevati. Gli sviluppatori dovrebbero verificare l'identità dei reclutatori attraverso i canali ufficiali dell'azienda, evitare di eseguire codice sconosciuto e utilizzare ambienti sandbox per i test. Altri suggerimenti includono l'astensione dalla memorizzazione di segreti in chiaro e l'adozione di una forte protezione degli endpoint.
Poiché gli aggressori diventano sempre più sofisticati dal punto di vista tecnico e psicologico, Yehor Rudytsia di Hacken ha sottolineato l'importanza dell'"igiene operativa", osservando che l'educazione e le pratiche sicure sono fondamentali quanto le verifiche dei contratti smart.
Quest'ultima ondata di attacchi evidenzia le continue sfide di cybersicurezza che l'industria della crittografia si trova ad affrontare e il ruolo crescente degli attori sostenuti dallo Stato nello sfruttare le vulnerabilità di Web3.
Recentemente abbiamo scritto che il Lazarus Group ha infettato centinaia di sviluppatori di software, distribuendo malware tramite pacchetti npm per rubare le credenziali, estrarre i dati dei portafogli di criptovalute e installare una backdoor persistente.
