Észak-koreai kiberszereplők a tech-ipari álláskeresőket célozzák
A Palo Alto Unit 42 nyomon követte a Koreai Népi Demokratikus Köztársasággal kapcsolatban álló kiberszereplők tevékenységét, akik toborzónak adják ki magukat, hogy rosszindulatú szoftvereket telepítsenek a technológiai ipari álláskeresők eszközeire. Ezt a tevékenységet CL-STA-240 Contagious Interview kampánynak nevezik, és először 2023 novemberében publikáltak róla. Azóta további online tevékenységet figyeltek meg az ál-toborzók részéről, valamint kódfrissítéseket a kampányhoz kapcsolódó két rosszindulatú szoftverhez: a BeaverTail letöltőhöz és az InvisibleFerret backdoorhoz.
A kampányhoz kapcsolódó BeaverTail malware-t már 2024 júliusában a Qt keretrendszer segítségével fordították le. A BeaverTail több olyan mintáját figyelték meg, amelyek mind macOS, mind Windows platformra elérhetőek. Emellett megfigyelték a BeaverTail letöltőprogram által szállított InvisibleFerret backdoor folyamatos kódfrissítéseit. A Unit 42 új blogbejegyzésében a hamis toborzók online tevékenységét és a kampány technikai részleteit tárgyalják, beleértve a macOS, Windows és Python rosszindulatú szoftverek elemzését.
A CL-STA-0240 mögött álló kiberszereplő álláskereső platformokon keresztül veszi fel a kapcsolatot szoftverfejlesztőkkel, leendő munkaadónak adva ki magát. A támadók meghívják az áldozatot egy online interjún való részvételre, ahol a kiberszereplő megpróbálja meggyőzni az áldozatot, hogy töltsön le és telepítsen egy valójában rosszindulatú programot. A legújabb jelentések és a közösségi média aktivitás azt jelzi, hogy ez a tevékenység folytatódik. Egy 2024. júniusi Medium cikk egy viszonylag friss példát ír le, amely során egy Onder Kayabasi nevet használó hamis toborzó vette fel a kapcsolatot az íróval a LinkedIn-en keresztül.
