Kuzey Koreli bilgisayar korsanları kripto geliştiricilerine karşı yeni bir dolandırıcılık yöntemi kullanıyor
Kuzey Koreli bilgisayar korsanları sahte iş teklifleri ve kötü amaçlı yazılımlarla kripto geliştiricilerini hedef alıyor.
Kuzey Koreli siber suçluların, hileli iş teklifleri ve kötü amaçlı yazılım içeren kodlama zorlukları yoluyla kripto geliştiricilerini tehlikeye atmayı amaçlayan sofistike yeni bir kampanya başlattığı bildirildi.
Cointelegraph'ın haberine göre kampanya, Jade Sleet ya da TraderTraitor olarak da bilinen ve son 1,4 milyar dolarlık Bybit istismarını düzenlediğinden şüphelenilen Slow Pisces adlı hack grubuyla bağlantılı.
The Hacker News tarafından yayınlanan bir rapora göre, saldırganlar LinkedIn'de işe alım görevlisi gibi davranarak geliştiricileri kazançlı kariyer fırsatlarıyla kandırıyor. Temas kurulduktan sonra kurbanlara GitHub'da barındırılan sahte kodlama testleri gönderiliyor. Bu belgeleri açmak, geliştirici kimlik bilgilerine, SSH anahtarlarına, API belirteçlerine ve cüzdan verilerine erişmek için tasarlanmış hırsızlık amaçlı kötü amaçlı yazılımın yüklenmesini tetikliyor.
Uzmanlar, amacın geliştiricinin işverenini ihlal etmek, altyapı açıklarını belirlemek ve nihayetinde büyük ölçekli kripto soygunları gerçekleştirmek olduğu konusunda uyarıyor.
Güvenlik uzmanları dikkatli olunmasını ve operasyonel hijyen sağlanmasını tavsiye ediyor
Cyvers'ta kıdemli SOC lideri olan Hakan Ünal, bilgisayar korsanlarının bulut hizmetlerini tehlikeye atmak, iCloud Keychains'i çıkarmak ve cüzdanları ihlal etmekle ilgilendiklerini söyledi. Hacken'den Luis Lubeck, saldırganların kurbanlara ulaşmak için Upwork ve Fiverr gibi serbest çalışan platformları da kullandığını ve genellikle DeFi veya Web3 güvenlik rolleri için işe alım yapan müşteriler gibi davrandıklarını ekledi.
Chainalysis'ten Hayato Shigekawa, "Bu aktörler, geliştiricileri kandırmak için özgeçmişler ve profesyonel profiller de dahil olmak üzere tamamen sahte kimlikler oluşturuyor" dedi. Grup, bir şirketin ağına girdikten sonra, zarar verici saldırılar gerçekleştirmek için istismar edilebilir güvenlik açıkları arıyor.
Lubeck ve diğer uzmanlar, geliştiricilerin talep edilmeyen işlere, özellikle de alışılmadık derecede yüksek ücret teklif edenlere şüpheyle yaklaşmalarını tavsiye ediyor. Geliştiriciler, işe alanların kimliklerini resmi şirket kanalları aracılığıyla doğrulamalı, bilinmeyen kodları çalıştırmaktan kaçınmalı ve test için sandbox ortamlarını kullanmalıdır. Diğer ipuçları arasında sırları düz metin olarak saklamaktan kaçınmak ve güçlü uç nokta koruması benimsemek yer alıyor.
Saldırganlar teknik ve psikolojik olarak daha sofistike hale geldikçe, Hacken'den Yehor Rudytsia "operasyonel hijyenin" önemini vurgulayarak, eğitim ve güvenli uygulamaların akıllı sözleşme denetimleri kadar hayati olduğunu belirtti.
Bu son saldırı dalgası, kripto endüstrisinin karşı karşıya olduğu siber güvenlik sorunlarının devam ettiğini ve devlet destekli aktörlerin Web3'ün açıklarından yararlanmada artan rolünü vurgulamaktadır.
Kısa bir süre önce Lazarus Group'un yüzlerce yazılım geliştiricisine bulaştığını, kimlik bilgilerini çalmak, kripto cüzdan verilerini çıkarmak ve kalıcı bir arka kapı kurmak için npm paketleri aracılığıyla kötü amaçlı yazılım dağıttığını yazmıştık.
