คลื่นลูกใหม่ของการโจมตีทางไซเบอร์แสดงให้เห็นว่า DPRK กำลังใช้ประโยชน์จากช่องทางการสรรหาบุคลากรของอุตสาหกรรมคริปโต โดยใช้ข้อเสนอการจ้างงานปลอมบน LinkedIn, การสนทนา Zoom แบบ Deep-fake และไฟล์สัมภาษณ์ที่มี Backdoor เพื่อเข้าถึงกระเป๋าเงินและคลังข้อมูลของนักพัฒนา Web3
การแทรกซึมของนักพัฒนาโดยแฮกเกอร์เกาหลีเหนือ เมื่อวันที่ 18 มิถุนายน บริษัทรักษาความปลอดภัยทางไซเบอร์ Huntress รายงานแคมเปญที่ระบุว่าเป็นของ BlueNoroff ซึ่งเป็นกลุ่มย่อยของ Lazarus Group ที่มีชื่อเสียง ซึ่งมุ่งเป้าไปที่นักพัฒนาที่มูลนิธิ Web3 ขนาดใหญ่ กลอุบายเริ่มต้นด้วยการเสนอตำแหน่งงานที่ดูดีบน LinkedIn ตามด้วยสิ่งที่ดูเหมือนเป็นการสัมภาษณ์ทาง Zoom กับผู้บริหารระดับสูง ในความเป็นจริง ฟีดวิดีโอเป็นการทำ Deep-fake และไฟล์ “การประเมินทางเทคนิค” ที่ผู้สมัครถูกขอให้เรียกใช้ `zoom_sdk_support.scpt` ได้ติดตั้งมัลแวร์ข้ามแพลตฟอร์มที่เรียกว่า BeaverTail ซึ่งสามารถเก็บเกี่ยว Seed Phrase, กระเป๋าเงินคริปโต และข้อมูลประจำตัวของ GitHub
กลยุทธ์เหล่านี้แสดงถึงการยกระดับอย่างมาก “ในแคมเปญใหม่นี้ กลุ่มผู้คุกคามกำลังใช้บริษัทแนวหน้า 3 แห่งในอุตสาหกรรมการให้คำปรึกษาด้านคริปโต …
เพื่อแพร่กระจายมัลแวร์ผ่าน ‘สิ่งล่อใจในการสัมภาษณ์งาน'” นักวิจัยจาก Silent Push เขียนไว้ในเดือนเมษายน โดยอ้างถึงบริษัทต่างๆ เช่น BlockNovas, SoftGlide และ Angeloper ทั้งสามบริษัทมีการจดทะเบียนบริษัทในสหรัฐอเมริกาและโพสต์งานบน LinkedIn ที่ผ่านการตรวจสอบของ HR ได้อย่างง่ายดาย
สิ่งเหล่านี้ไม่ใช่การหลอกลวงแบบฉกฉวย แต่เป็นส่วนหนึ่งของแคมเปญที่ได้รับการสนับสนุนทางการเงินอย่างดีและสั่งการโดยรัฐ นับตั้งแต่ปี 2017 กลุ่มแฮ็กเกอร์เกาหลีเหนือได้ขโมยคริปโตไปกว่า 1.5 พันล้านดอลลาร์ ซึ่งรวมถึงการแฮ็ก Ronin/Axie Infinity มูลค่า 620 ล้านดอลลาร์
“เป็นเวลาหลายปีที่เกาหลีเหนือได้ใช้ประโยชน์จากการทำสัญญาด้านไอทีระยะไกลทั่วโลกและระบบนิเวศคริปโตเพื่อหลีกเลี่ยงการคว่ำบาตรของสหรัฐฯ และสนับสนุนโครงการอาวุธ” Sue J.
Bai จากกองความมั่นคงแห่งชาติของ DoJ กล่าว เมื่อวันที่ 16 มิถุนายน สำนักงานของเธอประกาศการยึดคริปโตมูลค่า 7.74 ล้านดอลลาร์ที่เชื่อมโยงกับโครงการคนงานไอทีปลอม
ความไม่สมดุลนั้นคือเหตุผลที่ช่องทางการจ้างงานได้กลายเป็นสมรภูมิการรักษาความปลอดภัยทางไซเบอร์ เมื่อผู้สรรหาบุคลากรของบริษัทแนวหน้าผ่าน HR ไปได้ วิศวกรที่กระตือรือร้นที่จะมีความมั่นคงในตลาดหมีอาจไม่ทันสังเกตเห็นสัญญาณเตือนภัย ในหลายกรณี ผู้โจมตีถึงกับใช้ลิงก์ Calendly และคำเชิญของ Google Meet ที่เปลี่ยนเส้นทางเหยื่อไปยังโดเมนที่คล้ายกับ Zoom ที่ควบคุมโดยผู้โจมตีอย่างเงียบๆ
ชุดมัลแวร์มีความซับซ้อนและเป็นโมดูล Huntress และ Unit 42 ได้จัดทำรายการ BeaverTail, InvisibleFerret และ OtterCookie variants ซึ่งทั้งหมดคอมไพล์ด้วย Qt Framework เพื่อความเข้ากันได้ข้ามแพลตฟอร์ม เมื่อติดตั้งแล้ว เครื่องมือจะขูดส่วนขยายของเบราว์เซอร์ เช่น MetaMask และ Phantom, แยกไฟล์ `wallet.dat` และค้นหาคำต่างๆ เช่น “mnemonic” หรือ “seed” ในไฟล์ข้อความธรรมดา
ถึงแม้จะมีความซับซ้อนทางเทคนิค แต่แรงกดดันจากหน่วยงานบังคับใช้กฎหมายก็เพิ่มขึ้น การยึดโดเมนของ FBI, การริบทรัพย์ทางการเงินของ DoJ และการคว่ำบาตรตัวกลางทางการเงินของกระทรวงการคลังได้เริ่มเพิ่มต้นทุนในการทำธุรกิจสำหรับแฮ็กเกอร์ของเปียงยาง
ระบบที่ไร้ความเชื่อใจของ DeFi ยังคงพึ่งพาแวดวงเล็กๆ ที่เปราะบางของผู้ดูแลที่เป็นมนุษย์ที่น่าเชื่อถือ การโจมตีเป้าหมายคริปโตของเกาหลีเหนือ ข่าว CryptoSlate ล่าสุดแสดงให้เห็นภาพรวมที่กว้างขึ้นของการโจมตีคริปโตของเปียงยาง การวิเคราะห์เมื่อสิ้นปีพบว่ากลุ่มที่เชื่อมโยงกับเกาหลีเหนือได้ดูดเงินไป 1.34 พันล้านดอลลาร์จากการแฮ็ก 47 ครั้งในปี 2024 ซึ่งเป็น 61% ของคริปโตทั้งหมดที่ถูกขโมยในปีนั้น ส่วนแบ่งจำนวนมากมาจาก การละเมิด DMM Bitcoin ของญี่ปุ่นมูลค่า 305 ล้านดอลลาร์ ซึ่ง FBI กล่าวว่าเริ่มต้นเมื่อผู้ปฏิบัติงาน TraderTraitor แสร้งทำเป็นผู้สรรหาบุคลากรของ LinkedIn และส่ง “การทดสอบการเขียนโค้ด” ที่เป็นอันตรายให้กับวิศวกรกระเป๋าเงิน Ginco
แผนเดียวกันนี้ได้เพิ่มขึ้นในเดือนกุมภาพันธ์นี้ เมื่อหน่วยงานดังกล่าวระบุว่า Lazarus ได้ใช้ประโยชน์จาก Bybit มูลค่า 1.5 พันล้านดอลลาร์ ซึ่งเป็นสถิติ โดยสังเกตว่าขโมยได้ฟอกเงิน 100,000 ETH ผ่าน THORChain ภายในไม่กี่วันแล้ว ผู้ปฏิบัติงานชาวเกาหลีเหนือกำลังแอบอ้างเป็นนักลงทุน Venture Capital, ผู้สรรหาบุคลากร และคนงานไอทีระยะไกล โดยใช้โปรไฟล์ที่สร้างโดย AI และการสัมภาษณ์แบบ Deep-fake เพื่อหารายได้ แยก Source Code และขู่กรรโชกบริษัทต่างๆ ในสิ่งที่นักวิจัยของ Microsoft เรียกว่าโครงการ “Triple-threat”
ในโลกที่งานสามารถทำจากระยะไกล ความไว้วางใจเป็นแบบดิจิทัล และซอฟต์แวร์เป็นตัวขับเคลื่อนเงิน การละเมิดที่ได้รับการสนับสนุนจากรัฐอาจเริ่มต้นไม่ได้จากการใช้ประโยชน์ แต่เป็นการจับมือ โพสต์ “คุณได้รับการว่าจ้างแล้ว!
กลโกงคริปโตแบบใหม่ของเกาหลีเหนือเริ่มต้นด้วยข้อเสนองาน” ปรากฏครั้งแรกบน CryptoSlate