รับสมัครงาน! กลลวงคริปโตเกาหลีเหนือมาในรูปแบบใหม่

คลื่นลูกใหม่ของการโจมตีทางไซเบอร์แสดงให้เห็นว่า DPRK กำลังใช้ประโยชน์จากช่องทางการสรรหาบุคลากรของอุตสาหกรรมคริปโต โดยใช้ข้อเสนอการจ้างงานปลอมบน LinkedIn, การสนทนา Zoom แบบ Deep-fake และไฟล์สัมภาษณ์ที่มี Backdoor เพื่อเข้าถึงกระเป๋าเงินและคลังข้อมูลของนักพัฒนา Web3 ด้วยจำนวนนักพัฒนาที่มีประสบการณ์ที่ลดลง และโปรโตคอลโอเพนซอร์สที่พึ่งพาผู้สนับสนุนรายบุคคลมากขึ้น ความเสี่ยงจึงสูงกว่าที่เคย

การแทรกซึมของนักพัฒนาโดยแฮกเกอร์เกาหลีเหนือ เมื่อวันที่ 18 มิถุนายน บริษัทรักษาความปลอดภัยทางไซเบอร์ Huntress รายงานแคมเปญที่ระบุว่าเป็นของ BlueNoroff ซึ่งเป็นกลุ่มย่อยของ Lazarus Group ที่มีชื่อเสียง ซึ่งมุ่งเป้าไปที่นักพัฒนาที่มูลนิธิ Web3 ขนาดใหญ่ กลอุบายเริ่มต้นด้วยการเสนอตำแหน่งงานที่ดูดีบน LinkedIn ตามด้วยสิ่งที่ดูเหมือนเป็นการสัมภาษณ์ทาง Zoom กับผู้บริหารระดับสูง ในความเป็นจริง ฟีดวิดีโอเป็นการทำ Deep-fake และไฟล์ “การประเมินทางเทคนิค” ที่ผู้สมัครถูกขอให้เรียกใช้ `zoom_sdk_support.scpt` ได้ติดตั้งมัลแวร์ข้ามแพลตฟอร์มที่เรียกว่า BeaverTail ซึ่งสามารถเก็บเกี่ยว Seed Phrase, กระเป๋าเงินคริปโต และข้อมูลประจำตัวของ GitHub

กลยุทธ์เหล่านี้แสดงถึงการยกระดับอย่างมาก “ในแคมเปญใหม่นี้ กลุ่มผู้คุกคามกำลังใช้บริษัทแนวหน้า 3 แห่งในอุตสาหกรรมการให้คำปรึกษาด้านคริปโต …

เพื่อแพร่กระจายมัลแวร์ผ่าน ‘สิ่งล่อใจในการสัมภาษณ์งาน'” นักวิจัยจาก Silent Push เขียนไว้ในเดือนเมษายน โดยอ้างถึงบริษัทต่างๆ เช่น BlockNovas, SoftGlide และ Angeloper ทั้งสามบริษัทมีการจดทะเบียนบริษัทในสหรัฐอเมริกาและโพสต์งานบน LinkedIn ที่ผ่านการตรวจสอบของ HR ได้อย่างง่ายดาย FBI ยึดโดเมน BlockNovas ในเดือนเมษายน ถึงตอนนั้น นักพัฒนาจำนวนมากรายงานว่าได้นั่งในการสนทนา Zoom ปลอม ซึ่งพวกเขาถูกกระตุ้นให้ติดตั้งแอปที่กำหนดเองหรือเรียกใช้สคริปต์ หลายคนทำตาม

สิ่งเหล่านี้ไม่ใช่การหลอกลวงแบบฉกฉวย แต่เป็นส่วนหนึ่งของแคมเปญที่ได้รับการสนับสนุนทางการเงินอย่างดีและสั่งการโดยรัฐ นับตั้งแต่ปี 2017 กลุ่มแฮ็กเกอร์เกาหลีเหนือได้ขโมยคริปโตไปกว่า 1.5 พันล้านดอลลาร์ ซึ่งรวมถึงการแฮ็ก Ronin/Axie Infinity มูลค่า 620 ล้านดอลลาร์ สินทรัพย์ที่ถูกขโมยถูกส่งผ่านตัวกลาง เช่น Tornado Cash และ Sinbad เป็นประจำ เพื่อฟอกเงินที่เปียงยางได้รับ และในที่สุดก็สนับสนุนโครงการอาวุธ ตามข้อมูลของกระทรวงการคลังสหรัฐฯ

“เป็นเวลาหลายปีที่เกาหลีเหนือได้ใช้ประโยชน์จากการทำสัญญาด้านไอทีระยะไกลทั่วโลกและระบบนิเวศคริปโตเพื่อหลีกเลี่ยงการคว่ำบาตรของสหรัฐฯ และสนับสนุนโครงการอาวุธ” Sue J.

Bai จากกองความมั่นคงแห่งชาติของ DoJ กล่าว เมื่อวันที่ 16 มิถุนายน สำนักงานของเธอประกาศการยึดคริปโตมูลค่า 7.74 ล้านดอลลาร์ที่เชื่อมโยงกับโครงการคนงานไอทีปลอม

เน้นที่นักพัฒนาคริปโต เป้าหมายได้รับการคัดเลือกอย่างระมัดระวัง ลักษณะโอเพนซอร์สของโปรโตคอลคริปโตหมายความว่าวิศวกรคนเดียว ซึ่งมักจะไม่เปิดเผยชื่อและกระจายอยู่ทั่วโลก อาจมีสิทธิ์ในการคอมมิตกับโครงสร้างพื้นฐานที่สำคัญ ตั้งแต่สัญญา Smart Contract ไปจนถึงโปรโตคอล Bridge รายงานนักพัฒนาของ Electric Capital ที่เผยแพร่ต่อสาธารณชนล่าสุดนับนักพัฒนาคริปโตที่ใช้งานใหม่อยู่ที่ประมาณ 39,148 ราย โดยจำนวนนักพัฒนาทั้งหมดลดลงประมาณ 7% เมื่อเทียบเป็นรายปี นักวิเคราะห์ในอุตสาหกรรมกล่าวว่าอุปทานของผู้ดูแลที่มีประสบการณ์นั้นตึงตัวมากขึ้น ทำให้ผู้ที่ถูกบุกรุกแต่ละรายเป็นอันตรายอย่างไม่สมส่วน

ความไม่สมดุลนั้นคือเหตุผลที่ช่องทางการจ้างงานได้กลายเป็นสมรภูมิการรักษาความปลอดภัยทางไซเบอร์ เมื่อผู้สรรหาบุคลากรของบริษัทแนวหน้าผ่าน HR ไปได้ วิศวกรที่กระตือรือร้นที่จะมีความมั่นคงในตลาดหมีอาจไม่ทันสังเกตเห็นสัญญาณเตือนภัย ในหลายกรณี ผู้โจมตีถึงกับใช้ลิงก์ Calendly และคำเชิญของ Google Meet ที่เปลี่ยนเส้นทางเหยื่อไปยังโดเมนที่คล้ายกับ Zoom ที่ควบคุมโดยผู้โจมตีอย่างเงียบๆ

ชุดมัลแวร์มีความซับซ้อนและเป็นโมดูล Huntress และ Unit 42 ได้จัดทำรายการ BeaverTail, InvisibleFerret และ OtterCookie variants ซึ่งทั้งหมดคอมไพล์ด้วย Qt Framework เพื่อความเข้ากันได้ข้ามแพลตฟอร์ม เมื่อติดตั้งแล้ว เครื่องมือจะขูดส่วนขยายของเบราว์เซอร์ เช่น MetaMask และ Phantom, แยกไฟล์ `wallet.dat` และค้นหาคำต่างๆ เช่น “mnemonic” หรือ “seed” ในไฟล์ข้อความธรรมดา

ถึงแม้จะมีความซับซ้อนทางเทคนิค แต่แรงกดดันจากหน่วยงานบังคับใช้กฎหมายก็เพิ่มขึ้น การยึดโดเมนของ FBI, การริบทรัพย์ทางการเงินของ DoJ และการคว่ำบาตรตัวกลางทางการเงินของกระทรวงการคลังได้เริ่มเพิ่มต้นทุนในการทำธุรกิจสำหรับแฮ็กเกอร์ของเปียงยาง อย่างไรก็ตาม ระบอบการปกครองยังคงปรับตัวได้ แต่ละบริษัทเปลือกใหม่ ผู้สรรหาบุคลากร หรือ Payload มัลแวร์มาถึงโดยห่อหุ้มด้วยบรรจุภัณฑ์ที่น่าเชื่อถือยิ่งขึ้น ต้องขอบคุณเครื่องมือ Generative AI แม้แต่ผู้บริหารปลอมในการโทรสดก็ดูและเคลื่อนไหวได้อย่างน่าเชื่อถือ

ระบบที่ไร้ความเชื่อใจของ DeFi ยังคงพึ่งพาแวดวงเล็กๆ ที่เปราะบางของผู้ดูแลที่เป็นมนุษย์ที่น่าเชื่อถือ การโจมตีเป้าหมายคริปโตของเกาหลีเหนือ ข่าว CryptoSlate ล่าสุดแสดงให้เห็นภาพรวมที่กว้างขึ้นของการโจมตีคริปโตของเปียงยาง การวิเคราะห์เมื่อสิ้นปีพบว่ากลุ่มที่เชื่อมโยงกับเกาหลีเหนือได้ดูดเงินไป 1.34 พันล้านดอลลาร์จากการแฮ็ก 47 ครั้งในปี 2024 ซึ่งเป็น 61% ของคริปโตทั้งหมดที่ถูกขโมยในปีนั้น ส่วนแบ่งจำนวนมากมาจาก การละเมิด DMM Bitcoin ของญี่ปุ่นมูลค่า 305 ล้านดอลลาร์ ซึ่ง FBI กล่าวว่าเริ่มต้นเมื่อผู้ปฏิบัติงาน TraderTraitor แสร้งทำเป็นผู้สรรหาบุคลากรของ LinkedIn และส่ง “การทดสอบการเขียนโค้ด” ที่เป็นอันตรายให้กับวิศวกรกระเป๋าเงิน Ginco

แผนเดียวกันนี้ได้เพิ่มขึ้นในเดือนกุมภาพันธ์นี้ เมื่อหน่วยงานดังกล่าวระบุว่า Lazarus ได้ใช้ประโยชน์จาก Bybit มูลค่า 1.5 พันล้านดอลลาร์ ซึ่งเป็นสถิติ โดยสังเกตว่าขโมยได้ฟอกเงิน 100,000 ETH ผ่าน THORChain ภายในไม่กี่วันแล้ว ผู้ปฏิบัติงานชาวเกาหลีเหนือกำลังแอบอ้างเป็นนักลงทุน Venture Capital, ผู้สรรหาบุคลากร และคนงานไอทีระยะไกล โดยใช้โปรไฟล์ที่สร้างโดย AI และการสัมภาษณ์แบบ Deep-fake เพื่อหารายได้ แยก Source Code และขู่กรรโชกบริษัทต่างๆ ในสิ่งที่นักวิจัยของ Microsoft เรียกว่าโครงการ “Triple-threat”

ในโลกที่งานสามารถทำจากระยะไกล ความไว้วางใจเป็นแบบดิจิทัล และซอฟต์แวร์เป็นตัวขับเคลื่อนเงิน การละเมิดที่ได้รับการสนับสนุนจากรัฐอาจเริ่มต้นไม่ได้จากการใช้ประโยชน์ แต่เป็นการจับมือ โพสต์ “คุณได้รับการว่าจ้างแล้ว!

กลโกงคริปโตแบบใหม่ของเกาหลีเหนือเริ่มต้นด้วยข้อเสนองาน” ปรากฏครั้งแรกบน CryptoSlate