Gli hacker nordcoreani prendono di mira i candidati al lavoro con un nuovo schema

Gli hacker nordcoreani stanno creando false piattaforme di candidatura per selezionare i candidati per le principali aziende statunitensi di intelligenza artificiale e criptovalute, come scoperto dai ricercatori. Sebbene gli hacker siano attivi da anni, i ricercatori hanno affermato di aver aggiunto una nuova svolta alle loro operazioni.

Secondo l'organizzazione di sicurezza Validin, che ha scoperto la nuova svolta nelle loro operazioni, gli hacker nordcoreani stanno ora lavorando per ottenere un accesso a lungo termine ai computer dei candidati prima che entrino in un'azienda, invece di limitarsi a impersonare i dipendenti di tali aziende.

In un'operazione che i ricercatori di Validin chiamano "Contagious Interview", gli hacker nordcoreani stanno prendendo di mira singoli individui e rubando il know-how per il regime di Kim Jong Un, il tutto con l'aiuto di una falsa piattaforma di lavoro.

Gli hacker nordcoreani prendono di mira i candidati

Parlando alla CNN, Kenneth Kinion, CEO di Validin, ha affermato che prendere di mira i candidati al lavoro dovrebbe fornire un vantaggio agli attori nordcoreani. Ora, invece di cercare di eludere le difese dei datori di lavoro, prendono il controllo dell'intero processo di assunzione e lo fanno apparire completamente legittimo ai candidati. In questo modo, i candidati credono di sostenere un normale test di programmazione o di seguire la procedura per un'opportunità di lavoro.

Kinion ha osservato che se il candidato crede che tutto ciò che gli viene chiesto di fare sia legittimo, è molto più probabile che apra i file che gli vengono inviati durante il presunto colloquio. Nello specifico, i candidati vengono attirati da false offerte di lavoro, indotti a registrare risposte video e spinti a risolvere i problemi della webcam utilizzando un apposito strumento. Questi passaggi sembrano semplici e innocui, ma sono proprio quelli che l'hacker utilizza per infettare direttamente il sistema della vittima con malware.

La piattaforma fasulla, ospitata su lenvnydot.com, imita lo stile di Lever, un popolare sito web di headhunting che vanta decine di migliaia di utenti.

Secondo la descrizione fatta da Validin, la piattaforma di lavoro illecito è una "campagna progettata per manipolare socialmente e compromettere le persone in cerca di lavoro in una varietà di ruoli, tra cui sviluppatori di software, ricercatori di intelligenza artificiale, professionisti delle criptovalute e altri candidati tecnici e non tecnici, imitando al contempo i marchi leader in questi settori".

Tra i lavori fittizi pubblicizzati dagli hacker nordcoreani sul sito web c'è quello di "product manager" legato a Claude, un chatbot AI sviluppato dall'azienda di intelligenza artificiale Anthropic. Validin ha osservato chedentle vittime confermate del sistema è piuttosto difficile perché molti candidati si rifiutano di rivelare o mentono ai loro attuali datori di lavoro che si stanno candidando per posizioni altrove e sono quindi meno propensi a segnalare eventuali attività sospette che scoprono.

Gli attori nordcoreani intensificano gli attacchi

Negli ultimi anni, individui nordcoreani hanno utilizzato falsedente talvolta superato i colloqui di selezione per infiltrarsi in aziende negli Stati Uniti, soprattutto nel settore IT. Questi malintenzionati inviano poi i fondi ottenuti con le loro attività illecite in patria per finanziare il programma di armamenti illegale del regime.

La scorsa settimana, il Dipartimento di Giustizia degli Stati Uniti ha annunciato che cinque persone si sono dichiarate colpevoli di aver aiutato degli hacker nordcoreani.

Queste persone sono state accusate di aver aiutato gli hacker a ottenere un impiego da remoto nel settore IT presso aziende statunitensi per commettere frodi. Il piano ha interessato più di 136 aziende in totale, generando oltre 2,2 milioni di dollari di fondi illeciti che sono stati restituiti al regime di Kim Jong Un.

Inoltre, sono state compromesse ledentdi oltre 18 americani e il rapporto sottolinea che le loro attività abbracciavano diversi settori.

Tra gli arrestati figurano Audricus Phagnasay, 24 anni, Jason Salazar, 30 anni, e Alexander Paul Travis, 34 anni. Tutti si sono dichiarati colpevoli di associazione a delinquere finalizzata alla frode telematica. Il tribunale ha affermato che hanno fornito le lorodenta dipendenti IT esterni per aiutarli a ottenere un impiego presso aziende statunitensi. Hanno anche ospitato laptop aziendali nelle loro abitazioni e installato software di accesso remoto senza autorizzazione, facendo sembrare che i dipendenti IT stessero lavorando da remoto dalle loro residenze.