北朝鮮のハッカーがAI、暗号通貨、金融関連の求人詐欺で3,100以上のIPアドレスを攻撃

2025年に暗号通貨市場から20億ドル以上を盗んだ後、北朝鮮のハッカーが「パープルブラボー」と呼ばれるグループによる偽の求人キャンペーンで再び戻ってきた。.

レコーデッド・フューチャーのインシクト・グループによる新たな脅威情報調査結果によると、北朝鮮とつながりのあるハッカーらが、人工知能、暗号通貨、金融サービス分野の企業に関連する3,100以上のインターネットアドレスに対してサイバースパイ活動を開始した。. 

PurpleBravoは、不正な求人プロセスと悪意のあるソフトウェアが埋め込まれた開発ツールを使用していることが確認されました。Insikt Groupの評価によると、これまでに南アジア、北米、ヨーロッパ、中東、中米で20の被害組織がdentされています。. 

北朝鮮が偽の採用面接マルウェア攻撃を開始 

説明によると、「Contagious Interview」キャンペーンでは、採用担当者や開発者を装い、求職者に技術面接の演習を持ちかける悪質な攻撃者が存在します。セキュリティアナリストによると、監視期間中に少なくとも3,136件のIPアドレスが標的にされました。

攻撃者は暗号通貨やテクノロジー企業の代表者を装い、応募者にコードのレビュー、リポジトリのクローン作成、コーディングタスクの完了を要求しました。. 

「いくつかのケースでは、求職者が企業のデバイス上で悪意のあるコードを実行し、個人の標的を超えて組織全体のリスクを生み出した可能性が高い」と脅威インテリジェンス企業は報告書に記している。.

この攻撃には、北朝鮮のハッカーに関する非公開情報とオープンソースの情報の両方において、CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342、Void Dokkaebi、WaterPlum など複数の別名が存在します。. 

サイバーセキュリティグループはまた、ハッカーたちがAstrill VPNとIPアドレス範囲を利用して中国拠点のコマンド＆コントロールサーバーを管理していたと指摘した。一方、17のサービスプロバイダーがBeaverTailやGolangGhostサーバーなどのマルウェアをハッカーのためにホストしていた。.

ペルソナ、GitHub、ウクライナの偽装ストーリーで被害者を誘い込む

GitHubリポジトリ、暗号通貨詐欺に関するソーシャル メディアのチャット、ハッキング ネットワーク インテリジェンス サービスの調査の結果、PurpleBravo に関連する 4 人のオンライン ペルソナを発見しました。

報告によると、これらのプロフィールは一貫してウクライナのオデッサを拠点としているように見せかけ、南アジア出身の求職者をターゲットにしていた。インシクトは、なぜウクライナ人のdentが詐欺に使われたのかは不明だと述べた。. 

偽プログラムの1つでは、ハッカーは食品ブランドをベースとしたトークンを宣伝するウェブサイトを利用しました。しかし、研究者たちは、そのコインとそれが参照する企業との間に検証済みの関連性。プロジェクトの公式Telegramチャンネルには、詐欺師、自動ボット、悪意のあるリンクが溢れています。

さらに、この攻撃には、関連する2つのリモートアクセス型トロイの木馬、PylangGhostとGolangGhostも含まれていました。これらのマルウェアファミリーは、dentのコマンドを使用し、ブラウザのdent情報とCookieの盗難を自動化するマルチプラットフォームツールです。.

GolangGhost は複数のオペレーティング システムと互換性がありますが、PylangGhost は Windows システムでのみ動作し、バージョン 127 以降では Chrome のアプリにバインドされたdent情報保護を回避できます。.

Insikt Groupは、LinkedInとUpworkのアカウント販売を宣伝するTelegramチャンネルを発見しました。販売者は、proxy-seller[.]com、powervps[.]net、dentialvps[.]com、lunaproxy[.]com、sms-activate[.]ioなどのプロキシサービスや仮想プライベートサーバーを利用して、所在地を隠蔽していました。また、この運営者は暗号通貨取引プラットフォームMEXC Exchangeとのやり取りも確認されました。.

Microsoft Visual Studio の VS Code バックドア

Jamf Threat Labsは月曜日、北朝鮮と関係のある攻撃者が、システムのバックドアを発見できるMicrosoft Visual Studio Codeの武器化バージョンを開発したと報告した。セキュリティアナリストによると、この戦術は2025年12月に初めてdentされ、その後改良が続けられているという。.

Jamfのセキュリティ研究者Thijs Xhaflaire氏によると、攻撃者はマシン上でリモートコード実行を許可するマルウェアを埋め込むことができるとのことです。感染チェーンは、標的が悪意のあるGitリポジトリをクローンし、VS Codeで開くことから始まります。.

「プロジェクトを開くと、Visual Studio Codeはユーザーにリポジトリの作成者を信頼するかどうかを尋ねます。信頼が認められると、アプリケーションはmaticに処理します。その結果、埋め込まれた任意のコマンドがシステム上で実行される可能性があります」とThijs Xhaflaire氏は記しています。

メンターシップと毎日のアイデアで戦略を磨きましょう - 当社のトレーディングプログラム