Północnokoreańscy hakerzy wykorzystują nową metodę oszustwa przeciwko deweloperom kryptowalut
Północnokoreańscy hakerzy atakują deweloperów kryptowalut za pomocą fałszywych ofert pracy i złośliwego oprogramowania.
Północnokoreańscy cyberprzestępcy rozpoczęli podobno nową, wyrafinowaną kampanię mającą na celu skompromitowanie deweloperów kryptowalut poprzez fałszywe oferty pracy i wyzwania kodowania zawierające złośliwe oprogramowanie.
Kampania jest powiązana z grupą hakerską Slow Pisces - znaną również jako Jade Sleet lub TraderTraitor - która jest podejrzewana o zorganizowanie niedawnego exploita Bybit o wartości 1,4 miliarda dolarów, donosi Cointelegraph.
Według raportu The Hacker News, atakujący podszywają się pod rekruterów na LinkedIn, kusząc programistów lukratywnymi możliwościami kariery. Po nawiązaniu kontaktu ofiary otrzymują fałszywe testy kodowania hostowane na GitHub. Otwarcie tych dokumentów uruchamia instalację złośliwego oprogramowania, którego celem jest uzyskanie dostępu do poświadczeń programisty, kluczy SSH, tokenów API i danych portfela.
Eksperci ostrzegają, że celem jest włamanie się do pracodawcy dewelopera, zidentyfikowanie luk w infrastrukturze i ostatecznie przeprowadzenie kradzieży kryptowalut na dużą skalę.
Eksperci ds. bezpieczeństwa zalecają ostrożność i higienę operacyjną
Hakan Unal, starszy lider SOC w Cyvers, powiedział, że hakerzy są zainteresowani naruszeniem usług w chmurze, wyodrębnieniem pęku kluczy iCloud i naruszeniem portfeli. Luis Lubeck z Hacken dodał, że atakujący korzystają również z platform dla freelancerów, takich jak Upwork i Fiverr, aby dotrzeć do ofiar, często podszywając się pod klientów zatrudniających na stanowiska związane z bezpieczeństwem DeFi lub Web3.
"Aktorzy ci tworzą całe fałszywe tożsamości, w tym życiorysy i profile zawodowe, aby oszukać programistów" - powiedział Hayato Shigekawa z Chainalysis. Po wejściu do sieci firmy grupa szuka luk, które można wykorzystać do przeprowadzenia szkodliwych ataków.
Lubeck i inni eksperci zalecają deweloperom zachowanie sceptycyzmu wobec niezamówionych ofert pracy, zwłaszcza tych, które oferują niezwykle wysokie wynagrodzenie. Programiści powinni weryfikować tożsamość rekruterów za pośrednictwem oficjalnych kanałów firmy, unikać uruchamiania nieznanego kodu i używać środowisk piaskownicy do testowania. Dodatkowe wskazówki obejmują powstrzymanie się od przechowywania sekretów w postaci zwykłego tekstu i stosowanie silnej ochrony punktów końcowych.
Ponieważ atakujący stają się coraz bardziej wyrafinowani technicznie i psychologicznie, Yehor Rudytsia z Hacken podkreślił znaczenie "higieny operacyjnej", zauważając, że edukacja i bezpieczne praktyki są tak samo ważne jak audyty inteligentnych kontraktów.
Najnowsza fala ataków podkreśla ciągłe wyzwania w zakresie cyberbezpieczeństwa stojące przed branżą kryptowalut i rosnącą rolę podmiotów wspieranych przez państwo w wykorzystywaniu luk w zabezpieczeniach Web3.
Niedawno pisaliśmy, że grupa Lazarus zainfekowała setki programistów, wdrażając złośliwe oprogramowanie za pośrednictwem pakietów npm w celu kradzieży danych uwierzytelniających, wyodrębnienia danych portfela kryptowalut i zainstalowania trwałego backdoora.
