Фальшивий найм та співбесіди стають новою зброєю, північнокорейські хакери націлені на криптоіндустрію понад 3100+ IP-адрес

Північнокорейська хакерська організація PurpleBravo знову активізувалася. Після того, як у 2025 році вони викрали понад 2 мільярди доларів з ринку криптовалют, цього року 22 січня ця організація розпочала масштабну фальшиву кампанію з найму, здійснивши кібератаки на понад 3100 інтернет-адрес, пов’язаних з компаніями, що працюють у сферах штучного інтелекту, криптовалют і фінансових послуг. Цього разу їхній спосіб проникнення став більш прихованим: вони видавали себе за рекрутерів або розробників, використовуючи фальшиві технічні співбесіди для спонукання кандидатів запускати шкідливий код на корпоративних пристроях.

Фальшивий найм стає новим каналом соціальної інженерії

Інноваційність методів атаки

Новий тип атак PurpleBravo здається простим, але дуже ефективним. Зловмисники спершу видають себе за рекрутерів із крипто- або технологічних компаній і зв’язуються з кандидатами. Потім, під приводом технічної співбесіди, вони вимагають виконати низку нібито логічних завдань: перевірку коду, клонування репозиторіїв або виконання програмних задач. Під час виконання цих завдань кандидат фактично запускає ретельно підготовлений шкідливий код.

Головна хитрість цього методу — використання психології кандидатів. Завдання здаються цілком логічними, і кандидати, прагнучи показати свої навички, зменшують пильність. Для компаній це означає, що атакованими зазвичай стають співробітники з певним технічним рівнем, які мають більш високі системні привілеї.

Маскування та інфраструктура

За даними аналітичної компанії Recorded Future, PurpleBravo використовує кілька фальшивих особистостей, зокрема — фальшиві українські акаунти. Вони розгорнули два основних інструменти віддаленого доступу:

• PylangGhost: здатний автоматично викрадати дані браузерів і Cookies
• GolangGhost: також має можливість крадіжки облікових даних

Крім того, хакери створили зловмисне розширення для Microsoft Visual Studio Code, яке через шкідливі репозиторії Git вставляє бекдори. Їхня інфраструктура досить розвинена: вони використовують Astrill VPN і 17 провайдерів послуг для хостингу серверів з шкідливим ПЗ.

Особливі загрози для криптоіндустрії

Чому криптоіндустрія стала пріоритетною ціллю

З понад 3100 цілей цієї атаки значна частина припадає на криптовалютні компанії. Це не випадковість. Співробітники криптоіндустрії зазвичай мають доступ до приватних ключів, гаманців і інших цінних активів. У разі успішної атаки зловмисники можуть безпосередньо переказати кошти. Крім того, захист криптокомпаній часто поступається рівню традиційних фінансових установ.

З 20 підтверджених постраждалих організацій вони розташовані в Південній Азії, Північній Америці, Європі, Близькому Сході та Центральній Америці. Це свідчить про глобальний масштаб цілеспрямованих дій PurpleBravo.

Додаткові сигнали загрози

Фахівці з безпеки також виявили, що відповідні канали у Telegram продають акаунти LinkedIn і Upwork, а зловмисники мали взаємодію з криптовалютною платформою MEXC Exchange. Це свідчить про можливе створення повної ланцюжка поставок: отримання реальних даних особистості, створення фальшивих резюме, здійснення атак і виведення викрадених активів.

Як компаніям реагувати

Ключові моменти захисту

Для криптокомпаній і технологічних підприємств захист від таких атак вимагає багаторівневої оборони:

• Верифікація процесу найму: підтвердження запрошень через офіційні канали, використання корпоративної пошти, а не сторонніх сервісів
• Навчання співробітників: ознайомлення технічних фахівців із новими методами соціальної інженерії, навіть якщо завдання здаються цілком логічними
• Перевірка коду: ретельний аналіз будь-якого зовнішнього коду, уникнення його запуску у виробничому середовищі
• Контроль доступу: обмеження привілеїв на пристроях співробітників, використання ізольованих віртуальних машин для виконання підозрілих завдань
• Моніторинг і оповіщення: впровадження інструментів EDR для виявлення аномалій у доступі до облікових записів і мережевих з’єднаннях

Висновки

Фальшивий найм і співбесіди — це новий напрямок у соціальній інженерії хакерів. У порівнянні з традиційними фішинговими листами, цей метод є більш цілеспрямованим і використовує психологію кандидатів та вразливості процесу найму. Для криптоіндустрії активність PurpleBravo свідчить про те, що північнокорейські хакери й далі вважають цю галузь пріоритетною ціллю. Компанії мають усвідомлювати, що висококваліфіковані співробітники — найуразливіша точка проникнення, і ключовим є створення надійних процесів верифікації найму та підвищення рівня безпеки персоналу. Також важливо посилювати обмін інформацією та колективний захист у галузі.