Lazarus Group-hackare riktar in sig på kryptoinvesterare via LinkedIn
Hackare använder LinkedIn
Nordkoreanska hackare från Lazarus Group genomför en storskalig kampanj med hjälp av falska jobbannonser på LinkedIn. De stjäl arbetssökandes webbläsaruppgifter, hackar kryptovalutaplånböcker och etablerar ihållande åtkomst till infekterade enheter.
Enligt BitDefender Labs når angriparna ut till offren med falska jobberbjudanden via LinkedIn och lurar dem att ladda ner och köra en skadlig JavaScript-stealer från en fjärrserver.
"Våra forskare upptäckte att den skadliga programvaran är en plattformsstjälare som kan köras på Windows, macOS och Linux", säger BitDefender i ett blogginlägg.
Den skadliga programvaran är utformad för att rikta in sig på populära kryptovalutaplånböcker genom att spåra specifika webbläsartillägg som är associerade med kryptotillgångar.
En analys av den skadliga programvaran och attackmetoderna gjorde det möjligt för forskare att länka kampanjen till nordkoreanska hackare, särskilt APT38, som tidigare har använt liknande taktik, inklusive falska jobbannonser och bedrägliga jobbansökningar.
Hur bedrägeriet fungerar
Det bedrägliga systemet börjar med ett lockande jobberbjudande på LinkedIn - att samarbeta med utvecklingen av en decentraliserad kryptovalutabörs. När offret uttrycker intresse ombeds de att tillhandahålla en CV eller GitHub-länk, som i sig kan utnyttjas för bedrägliga ändamål. Angriparna delar sedan ett arkiv som innehåller en "minsta livskraftig produkt" (MVP) av ett falskt kryptoprojekt.
Offren får också ett dokument med frågor som bara kan besvaras genom att köra demokoden från förvaret. Denna åtgärd utlöser installationen av skadlig kod, vilket leder till att enheten infekteras.
LinkedIn- och Reddit-användare har redan rapporterat liknande attacker där hackare bad dem att klona ett skadligt arkiv eller fixa buggar i dess kod. BitDefender varnar för viktiga röda flaggor, som vaga jobbeskrivningar, misstänkta arkiv och dålig kommunikation, för att hjälpa användare att undvika att bli offer för dessa bedrägerier.
Under tiden fortsätter nordkoreanska hackare att attackera kryptovalutabörser, medan USA och dess allierade vidtar motåtgärder.
