Корейские хакеры атаковали более 3100 IP-адресов в сфере ИИ и криптовалют под видом собеседований

Исследование компании Recorded Future показало, что связанная с КНДР хакерская группа PurpleBravo провела кибершпионскую кампанию, нацелившись на более чем 3100 IP-адресов компаний, работающих в сферах искусственного интеллекта, криптовалют и финансовых услуг. Злоумышленники выдавали себя за рекрутеров или разработчиков и приглашали жертв на фиктивные технические собеседования.

В рамках «собеседования» цели побуждали выполнить вредоносный код под предлогом проверки кода, клонирования репозитория или выполнения программистских задач. В числе пострадавших — 20 организаций в Южной Азии и Северной Америке.

Группа использовала трояны удаленного доступа, такие как PylangGhost и GolangGhost, для кражи учетных данных браузеров и файлов cookies. Для размещения вредоносного ПО применялись поддельные репозитории на GitHub, сервис Astrill VPN и 17 различных хостинг-провайдеров.

Также было обнаружено, что связанные с атакой Telegram-каналы продают учетные записи с платформ LinkedIn и Upwork. Кроме того, установлено, что злоумышленники взаимодействовали с криптобиржей MEXC Exchange.