Северокорейские хакеры нацелились на криптовалюту с помощью поддельных компаний и предложений о работе

Исследователи кибербезопасности из компании Silent Push обнаружили сложную кампанию со стороны северокорейской группы постоянной угрозы (APT), известной как Contagious Interview (также известная как «Знаменитый Чоллима»), подгруппы печально известной группы Lazarus.

Эта операция включала создание поддельных компаний в сфере криптовалют в США и использование обманных тактик собеседований для распространения вредоносного ПО и проникновения в организации.

Ключевые выводы

Согласно Silent Push, хакеры создали три подставные компании в сфере криптовалют — BlockNovas LLC в Нью-Мексико, Angeloper Agency и SoftGlide LLC в Нью-Йорке, используя ложные имена и адреса. Angeloper Agency не зарегистрирована в США.

«В этой новой кампании группа злоумышленников использует три подставные компании в индустрии консалтинга по криптовалютам — BlockNovas LLC (blocknovas[.] com), Angeloper Agency (angeloper[.]com) и SoftGlide LLC (softglide[.]co) — для распространения вредоносного ПО через ‘приманки для собеседований’,» — говорится в подробном блоге Silent Push.

Эти организации, выдавая себя за законные консалтинговые фирмы в сфере криптовалют, были созданы для того, чтобы заманить ничего не подозревающих соискателей на работу в криптовалютной сфере в загрузку вредоносного ПО, компрометацию криптокошельков и кражу учетных данных.

Помимо поддельных компаний, соискатели работы подвергались атаке через фальшивые объявления о работе и профили в стиле LinkedIn, в ходе которых их обманывали на загрузку файлов с вредоносным ПО, замаскированных под материалы для подачи заявлений или документы по адаптации.

Три штамма вредоносного ПО, выявленные в этой кампании, — BeaverTail, InvisibleFerret и OtterCookie, которые ранее были связаны с северокорейскими киберподразделениями. Эти программы могли красть данные, предоставлять доступ через задние двери к зараженным системам и служить точками входа для последующих атак с использованием дополнительного шпионского ПО или программ-вымогателей.

Согласно Silent Push, Blocknovas, самая активная из трех подставных компаний, была захвачена Федеральным бюро расследований США (FBI) 23 апреля 2025 года. Уведомление, размещенное на сайте, гласит, что сайт был закрыт «в рамках действий правоохранительных органов против северокорейских киберпреступников, которые использовали этот домен для обмана людей с помощью фальшивых объявлений о работе и распространения вредоносного ПО.»

Помимо использования таких сервисов, как Astrill VPN и резидентских прокси для сокрытия своей инфраструктуры и деятельности, кампания Contagious Interview также использовала инструменты ИИ, такие как «Remaker AI» (remaker[.]ai), для создания убедительных профилей поддельных сотрудников для трех подставных криптокомпаний, чтобы повысить доверие к этим мошенническим фирмам.

Наконец, в рамках атак на криптовалюту кампания активно использовала платформы, такие как GitHub, сайты с объявлениями о работе и сайты фрилансеров, чтобы достичь потенциальных жертв и распространить вредоносное ПО.

Последствия и рекомендации

Поскольку северокорейские киберугрозы продолжают развиваться, организациям, особенно в секторе криптовалют, эта кампания подчеркивает необходимость повышенной бдительности в практиках кибербезопасности, особенно в секторе криптовалют и в процессе найма.

Чтобы защититься от этих сложных атак, организациям следует внедрить строгие процессы проверки для соискателей, включая проведение личных или видеособеседований и тщательную проверку биографий, а также обучить сотрудников о рисках непрошенных предложений о работе и собеседованиях.

Для подробного анализа этой кампании вы можете ознакомиться с полным отчетом Silent Push: Подставные компании Contagious Interview.