Thomasa Danielsa
W ramach wyrafinowanej kampanii cybernetycznego szpiegostwa północnokoreańska grupa Lazarus założyła trzy firmy-przykrywki — BlockNovas LLC, SoftGlide LLC i Angeloper Agency — w celu dystrybucji złośliwego oprogramowania skierowanego do deweloperów kryptowalut. Dwie z tych jednostek, BlockNovas i SoftGlide, zostały legalnie zarejestrowane w Stanach Zjednoczonych przy użyciu sfałszowanej dokumentacji, co stanowi naruszenie międzynarodowych sankcji.
Kampania, nazwana „Contagious Interview” przez analityków cyberbezpieczeństwa z Silent Push, polega na tworzeniu fałszywych firm konsultingowych ds. kryptowalut, aby zwabić programistów na fałszywe rozmowy kwalifikacyjne. Podczas tych rozmów kandydaci są proszeni o nagranie filmów wprowadzających. Po napotkaniu celowo wywołanego komunikatu o błędzie otrzymują „rozwiązanie” kopiuj-wklej, które potajemnie instaluje złośliwe oprogramowanie.
Wdrożono trzy różne szczepy — BeaverTail, InvisibleFerret i OtterCookie. BeaverTail umożliwia przede wszystkim dalsze wdrażanie złośliwego oprogramowania i kradzież informacji, podczas gdy InvisibleFerret i OtterCookie zostały zaprojektowane w celu wyodrębnienia poufnych danych, w tym kluczy prywatnych i zawartości schowka.
Zach Edwards, starszy analityk zagrożeń w Silent Push, podkreślił, że operacje te stanowią część szerszych wysiłków Korei Północnej, aby generować dochód poprzez cyberkradzież, rzekomo w celu wsparcia programu broni jądrowej. FBI podjęło działania, przejmując domenę powiązaną z BlockNovas, chociaż inna infrastruktura, w tym SoftGlide, nadal działa.
Ta trwająca operacja, której początki sięgają 2024 r., pochłonęła już kilka znanych ofiar. Co najmniej jeden deweloper zgłosił, że jego portfel MetaMask został naruszony. Tymczasem inni udaremnili próby fałszywych połączeń Zoom organizowanych przez oszustów podszywających się pod potencjalnych pracodawców.
Grupa Lazarus pozostaje głównym podejrzanym stojącym za największymi cybernapadami w przestrzeni Web3, w tym za włamaniem do sieci Ronin o wartości 600 milionów dolarów i atakiem na Bybit o wartości 1.4 miliarda dolarów.
