朝鲜黑客利用美国空壳公司锁定加密货币开发者_新闻

TLDR

朝鲜黑客创建了虚假的美国公司（Blocknovas和Softglide）以针对加密货币开发者。该行动与Lazarus Group有关，并通过虚假的招聘信息传播恶意软件。已识别出三种恶意软件：BeaverTail、InvisibleFerret和Otter Cookie。使用AI生成的图像创建虚假的员工资料。作为执法行动的一部分，FBI已查封了至少一个域名（Blocknovas）。

复杂的招聘骗局

朝鲜黑客在美国建立了虚假公司，作为针对加密货币行业开发者并对其进行攻击的一部分。安全公司Silent Push表示，该行动展示了这些威胁行为者如何通过更合法的手段进行网络间谍活动和盗窃。两家公司Blocknovas和Softglide使用虚构的身份和地址在纽约和新墨西哥州注册。第三家公司Angeloper Agency也被确认为该计划的一部分。安全研究人员将此行动与Lazarus Group的一个子组“Contagious Interview”联系起来。

黑客的方法既具有操纵性又有效。他们创建虚假的LinkedIn风格的个人资料，并发布招聘信息以吸引加密货币开发者。在招聘过程中，候选人被诱骗下载伪装成求职工具的恶意软件。

当受害者参与虚假面试时，他们在尝试录制介绍视频时会遇到错误信息。提供的解决方案要求用户执行“点击、复制和粘贴”操作，这会使他们的系统感染恶意软件。

Silent Push识别了该行动的多个受害者。该公司发现Blocknovas是三家前台公司中最活跃的。其列出的南卡罗来纳州地址似乎是一块空地，而Softglide则通过纽约布法罗的税务局注册。

恶意软件库与AI欺骗

该行动利用了至少三种先前与朝鲜网络单位相关的病毒株。这些包括BeaverTail、InvisibleFerret和Otter Cookie。

BeaverTail主要用于信息窃取和加载额外的恶意软件。OtterCookie和InvisibleFerret针对敏感信息，包括加密货币钱包密钥和剪贴板数据。

这些程序可以窃取数据，提供对受感染系统的远程访问，并作为额外间谍软件或勒索软件的入口点。安全研究人员确认，至少有一名受害者的MetaMask钱包被攻破。

黑客还使用人工智能创建了令人信服的虚假员工资料。Silent Push的高级威胁分析师Zach Edwards表示：“在这个网络中有许多虚假员工和从真实人物中窃取的图像被使用。”

在某些情况下，攻击者使用AI工具对真实人物的照片进行修改，以创建略有不同的版本。这种方法使得通过反向图像搜索更难检测到虚假资料。

执法响应

FBI已查封了Blocknovas域名，作为针对这些朝鲜网络行为者的执法行动的一部分。网站上发布的通知称，该网站已被“作为针对朝鲜网络行为者的执法行动的一部分，他们利用该域名通过虚假的招聘信息欺骗个人并分发恶意软件。”

然而，根据Silent Push的说法，虽然Blocknovas已被关闭，“Softglide仍然活跃，他们的一些其他基础设施也是如此。”

该恶意软件活动自2024年初以来一直在进行。Lazarus Group被怀疑参与了加密货币领域的一些最大网络盗窃案，包括Bybit 14亿美元的黑客攻击和Ronin网络6亿美元的黑客攻击。

至少有三名加密货币创始人在3月份报告称，他们挫败了据称是朝鲜黑客通过虚假Zoom通话窃取敏感数据的企图，这表明这些组织随着安全意识的提高继续调整其策略。

我的自选