I Hacker Usano False Aziende di Criptovalute per Diffondere Malware in Truffe di Lavoro

Gli hacker nordcoreani si fingono aziende di criptovalute, ingannando i cercatori di lavoro a scaricare malware che ruba le credenziali del portafoglio durante finti colloqui.

I ricercatori di sicurezza di Silent Push hanno scoperto una nuova campagna di cyberattacco orchestrata dal gruppo di hacker nordcoreani noto come Contagious Interview, conosciuto anche come Famous Chollima.

Il gruppo gestisce tre società di criptovalute fraudolente—BlockNovas LLC, Angeloper Agency e SoftGlide LLC—per ingannare i cercatori di lavoro inducendoli a installare malware.

La truffa inizia con false offerte di lavoro pubblicate su siti di freelance e di reclutamento, prendendo di mira individui che cercano ruoli nell’industria della criptovaluta. Quando i candidati rispondono, vengono invitati a scaricare file che presumibilmente contengono materiale per l’intervista o sfide di programmazione.

Questi file, tuttavia, distribuiscono software malevoli identificati come BeaverTail, InvisibleFerret e OtterCookie. Il malware è progettato per rubare dati sensibili, inclusi le credenziali del portafoglio di criptovalute.

Per rafforzare la credibilità della truffa, gli hacker creano falsi profili di dipendenti utilizzando immagini generate dall’IA. Alcuni di questi ritratti sono stati prodotti con Remaker AI, uno strumento progettato per fabbricare ritratti realistici.

Le tre aziende fraudolente – BlockNovas, Angeloper e SoftGlide – si presentano come imprese legittime, ma il loro scopo principale è diffondere malware. Le vittime vengono ingannate ad eseguire codice malevolo durante quello che credono siano valutazioni tecniche o colloqui.

I hacker si affidano a piattaforme come GitHub, mercati per freelancer e bacheca di lavoro per distribuire il malware e gestire le loro operazioni.

La strategia di attacco coincide con un modello visto in passate operazioni di Contagious Interview, un sottogruppo del team Lazarus sostenuto dallo stato nordcoreano. Nota per l’utilizzo di false offerte di lavoro e personaggi generati da IA, Lazarus sfrutta proxy residenziali e VPN per mascherare la sua posizione mentre mira a individui a livello globale.

Per proteggersi da tali attacchi, gli esperti consigliano ai cercatori di lavoro di essere cauti con qualsiasi offerta che richieda il download di file sconosciuti o l’esecuzione di codice. È inoltre essenziale verificare la legittimità delle aziende prima di partecipare a colloqui e di utilizzare software di sicurezza aggiornati.

Un sviluppatore ha raccontato la sua esperienza: “Volevo condividere come il mio portafoglio MetaMask sia stato hackerato ieri come una storia di monito.”

“Ho ricevuto un nuovo progetto tramite Freelancer.com. Il cliente aveva un distintivo ‘pagamento verificato’, quindi ho supposto che fossero legittimi. Il progetto riguardava lo sviluppo del backend web3, di cui ero sicura di potermi occupare,” ha continuato.

“Dopo aver accettato il contratto, il cliente mi ha invitato al loro progetto GitLab e mi ha chiesto di eseguire il loro codice backend. Poco dopo averlo eseguito, mi sono resa conto che il mio portafoglio MetaMask era stato compromesso,” ha avvertito la sviluppatrice.