Северокорейские хакеры атаковали более 3100 IP-адресов, связанных с ИИ, криптовалютами и финансами, используя фальшивые собеседования при приеме на работу

После того, как в 2025 году северокорейские хакеры выманили у криптовалютного рынка более 2 миллиардов долларов, они вернулись с фальшивой кампанией по набору персонала, организованной группой, известной как PurpleBravo.

Согласно новым данным аналитической компании Insikt Group, входящей в состав Recorded Future, хакеры, связанные с Северной Кореей, осуществляли кибершпионаж в отношении более чем 3100 интернет-адресов, связанных с компаниями, работающими в сфере искусственного интеллекта, криптовалют и финансовых услуг. 

Было обнаружено, что компания PurpleBravo использовала мошеннические процессы найма персонала и инструменты для разработчиков, содержащие вредоносное программное обеспечение. По оценке Insikt Group, на данный моментdent20 организаций-жертв из Южной Азии, Северной Америки, Европы, Ближнего Востока и Центральной Америки. 

Северная Корея запускает кампанию по распространению вредоносного программного обеспечения, вводящего в заблуждение при приеме на работу 

Как поясняет Insikt Group, в рамках кампании «Заразительное собеседование» злоумышленники, выдавая себя за рекрутеров или разработчиков, предлагают соискателям работы выполнить технические задания для собеседования. По данным аналитиков по безопасности, за период мониторинга было атаковано не менее 3136 отдельных IP-адресов.

Злоумышленники представились представителями крипто- и технологической компании и потребовали от кандидатов проверить код, клонировать репозитории или выполнить задания по программированию. 

«В ряде случаев, вероятно, кандидаты на вакансию запускали вредоносный код на корпоративных устройствах, создавая угрозу безопасности для организации, выходящую за рамки отдельного объекта атаки», — говорится в отчете компании, занимающейся анализом угроз.

В частных источниках и открытых источниках информации о северокорейских хакерах эта операция имеет несколько псевдонимов, включая CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi и WaterPlum. 

Группа специалистов по кибербезопасности также упомянула, что хакеры использовали VPN-сервис Astrill и диапазоны IP-адресов для администрирования серверов управления и контроля, расположенных в Китае. Между тем, 17 поставщиков услуг размещали для них серверы вредоносного ПО, такого как BeaverTail и GolangGhost.

Заманивание жертв с помощью вымышленных личностей, GitHub и украинских легенд

В ходе расследования, связанного с вредоносными GitHub , обсуждениями в социальных сетях криптовалютных мошенничеств и службой анализа хакерских сетей,

Согласно отчету, эти профили неизменно представлялись как находящиеся в Одессе, Украина, и были нацелены на соискателей работы из Южной Азии. Инсикт заявил, что не смог установить, почему в этой афере использовались украинскиеdentданные. 

В одной из поддельных программ хакеры использовали веб-сайт, рекламирующий токен, основанный на бренде продуктов питания. Однако исследователям не удалось установить подтвержденную связь между монетой и компанией, на которую она ссылалась. Мошенники, автоматизированные боты и вредоносные ссылки заполонили официальный Telegram-канал проекта. 

Кроме того, в ходе операции были задействованы два связанных трояна удаленного доступа: PylangGhost и GolangGhost. Эти семейства вредоносных программ представляют собой многоплатформенные инструменты, использующиеdentкоманды и автоматизирующие кражу учетныхdentбраузера и файлов cookie.

GolangGhost совместим с несколькими операционными системами, но PylangGhost работает только на системах Windows и может обходить защитуdent, привязанную к приложению Chrome, начиная с версии 127.

Группа Insikt обнаружила каналы в Telegram, рекламирующие продажу аккаунтов LinkedIn и Upwork, при этом продавцы использовали прокси-сервисы, такие как proxy-seller[.]com, powervps[.]net,dent[.]com, lunaproxy[.]com и sms-activate[.]io, а также виртуальные частные серверы для сокрытия своего местоположения. Оператор также взаимодействовал с криптовалютной торговой платформой MEXC Exchange.

В VS Code есть бэкдоры в Microsoft Visual Studio

В понедельник Jamf Threat Labs сообщила, что связанные с Северной Кореей злоумышленники разработали модифицированную версию Microsoft Visual Studio Code, способную обнаруживать бэкдоры в системах. По словам аналитиков по безопасности, эта тактика была впервыеdent​​в декабре 2025 года и с тех пор была усовершенствована.

По словам исследователя безопасности Jamf Тейса Джафлэра, злоумышленники могут внедрять вредоносное ПО, позволяющее удаленно выполнять код на машинах. Цепочка заражения начинается, когда жертва клонирует вредоносный репозиторий Git и открывает его в VS Code.

«При открытии проекта Visual Studio Code предлагает пользователю подтвердить доверие к автору репозитория. Если доверие предоставлено, приложение автоматическиmaticконфигурационный файл tasks.json репозитория, что может привести к выполнению в системе произвольных команд», — написал.