Noord-Koreaanse hackers gebruiken nieuwe oplichtingsmethode tegen crypto-ontwikkelaars
Noord-Koreaanse hackers richten zich op crypto-ontwikkelaars met valse vacatures en malware.
Noord-Koreaanse cybercriminelen hebben naar verluidt een geraffineerde nieuwe campagne gelanceerd die erop gericht is crypto-ontwikkelaars te compromitteren door middel van frauduleuze vacatures en codeeruitdagingen met malware.
De campagne is gelinkt aan de hackersgroep Slow Pisces, ook bekend als Jade Sleet of TraderTraitor, die ervan wordt verdacht de recente Bybit-exploit van $1,4 miljard te hebben georkestreerd, meldt Cointelegraph.
Volgens een rapport van The Hacker News doen aanvallers zich voor als recruiters op LinkedIn en lokken ze ontwikkelaars met lucratieve carrièremogelijkheden. Zodra er contact is gelegd, krijgen de slachtoffers valse coderingstests toegestuurd die worden gehost op GitHub. Het openen van deze documenten leidt tot de installatie van stealer-malware die is ontworpen om toegang te krijgen tot de referenties van ontwikkelaars, SSH-sleutels, API-tokens en portefeuillegegevens.
Experts waarschuwen dat het doel is om in te breken in de werkgever van de ontwikkelaar, kwetsbaarheden in de infrastructuur te identificeren en uiteindelijk grootschalige crypto-overvallen uit te voeren.
Beveiligingsexperts dringen aan op voorzichtigheid en operationele hygiëne
Hakan Unal, senior SOC lead bij Cyvers, vertelde dat de hackers geïnteresseerd zijn in het binnendringen van clouddiensten, het extraheren van iCloud Keychains en het binnendringen van portemonnees. Luis Lubeck van Hacken voegde eraan toe dat aanvallers ook gebruikmaken van freelance platforms zoals Upwork en Fiverr om slachtoffers te bereiken, waarbij ze zich vaak voordoen als klanten die DeFi of Web3 beveiligingsfuncties inhuren.
"Deze actoren creëren hele valse identiteiten, inclusief cv's en professionele profielen, om ontwikkelaars te misleiden," aldus Hayato Shigekawa van Chainalysis. Eenmaal binnen in het netwerk van een bedrijf, zoekt de groep naar uitbuitbare kwetsbaarheden om schadelijke aanvallen uit te voeren.
Lubeck en andere experts raden ontwikkelaars aan om sceptisch te blijven over ongevraagde opdrachten, vooral als ze een ongebruikelijk hoge vergoeding bieden. Ontwikkelaars moeten de identiteit van rekruteerders verifiëren via officiële bedrijfskanalen, het uitvoeren van onbekende code vermijden en sandbox-omgevingen gebruiken om te testen. Extra tips zijn onder andere om geen geheimen in platte tekst op te slaan en een sterke endpointbeveiliging te gebruiken.
Nu aanvallers technisch en psychologisch steeds geraffineerder worden, benadrukt Yehor Rudytsia van Hacken het belang van "operationele hygiëne", waarbij hij opmerkt dat onderwijs en veilige praktijken net zo belangrijk zijn als smart contract-audits.
Deze laatste golf van aanvallen benadrukt de voortdurende cyberbeveiligingsuitdagingen voor de crypto-industrie en de groeiende rol van door de staat gesteunde actoren bij het uitbuiten van de kwetsbaarheden van Web3.
Onlangs schreven we dat de Lazarus Group honderden softwareontwikkelaars heeft geïnfecteerd door malware in te zetten via npm-pakketten om referenties te stelen, cryptowalletgegevens te extraheren en een hardnekkige achterdeur te installeren.
