Сообщается, что северокорейские хакеры, причастные к взлому Bybit на сумму 1,4 миллиарда долларов, нацелены на разработчиков криптовалют с помощью поддельных тестов на трудоустройство, зараженных вредоносным ПО.
Кибербезопасность The Hacker News сообщила, что разработчики криптовалют получили задания по программированию от злоумышленников, выдающих себя за рекрутеров. Эти задания по программированию, как сообщается, использовались для распространения вредоносного ПО среди ничего не подозревающих разработчиков.
Злоумышленники обращаются к разработчикам криптовалют в LinkedIn и рассказывают им о фиктивных возможностях трудоустройства. Как только они убеждают разработчика, хакеры отправляют на GitHub злонамеренный документ, содержащий детали задания по программированию. Если этот файл открывается, он устанавливает шпионское ПО, способное скомпрометировать систему жертвы.
Сообщается, что эту схему реализует северокорейская хакерская группа, известная как Slow Pisces, также известная как Jade Sleet, Pukchong, TraderTraitor и UNC4899.
Специалисты по кибербезопасности предупреждают о фиктивных предложениях работы
Hakan Unal, старший менеджер центра безопасности операций в Cyvers, рассказал Cointelegraph, что хакеры часто хотят украсть учетные данные разработчиков и ключи доступа. Он отметил, что эти злоумышленники часто ищут конфигурации облачных сервисов, SSH-ключи, iCloud Keychain, системные и приложения данные, а также доступ к кошелькам.
Luis Lubeck, руководитель проектов в Hacken, рассказал Cointelegraph, что эти хакеры также пытаются получить доступ к API-ключам или производственной инфраструктуре.
Lubeck отметил, что основной платформой, используемой этими злоумышленниками, является LinkedIn. Однако команда Hacken также зафиксировала использование хакерами фриланс-платформ, таких как Upwork и Fiverr.
«Злоумышленники выдают себя за клиентов или менеджеров по найму, предлагая высокооплачиваемые контракты или тесты, особенно в сфере DeFi или безопасности, что кажется разработчикам правдоподобным», — добавил Lubeck.
Hayato Shigekawa, главный архитектор решений в Chainalysis, рассказал Cointelegraph, что хакеры часто создают “правдоподобные” профили сотрудников на профессиональных сайтах для общения и подбирают их под резюме, отражающие их фиктивные должности.
Они прилагают все эти усилия, чтобы в конечном итоге получить доступ к Web3-компании, в которой работает их целевой разработчик. «После получения доступа к компании, хакеры выявляют уязвимости, что в конечном итоге может привести к эксплуатации», — добавил Shigekawa.
Будьте осторожны с нежелательными предложениями для разработчиков
Yehor Rudytsia, эксперт по безопасности блокчейн-проектов в Hacken, отметил, что злоумышленники становятся все более изобретательными, имитируя неудачливых трейдеров для отмывания средств и используя психологические и технические векторы атаки для эксплуатации уязвимостей безопасности.
«Это делает обучение разработчиков и операционную гигиену такими же важными, как проверки кода или защиты смарт-контрактов», — сказал Rudytsia Cointelegraph.
Unal посоветовал Cointelegraph, что некоторые из лучших практик, которые могут использовать разработчики, чтобы избежать попадания в ловушку таких атак, включают использование виртуальных машин и песочниц для тестирования, независимую проверку предложений работы и отказ от запуска кода от незнакомцев.
Эксперт по безопасности добавил, что разработчики криптовалют должны избегать установки неподтвержденных пакетов и использовать надежную защиту конечных точек.
В свою очередь, Lubeck порекомендовал обращаться в официальные каналы для проверки личности рекрутеров. Он также рекомендовал избегать хранения секретов в открытом виде.
«Будьте особенно осторожны с предложениями, которые кажутся «слишком хорошими, чтобы быть правдой», особенно с нежелательными», — добавил Lubeck.
