Trong một cuộc tấn công mạng tinh vi, một nhóm nhỏ của tổ chức tin tặc khét tiếng Triều Tiên Lazarus đã thành lập nhiều công ty bình phong — bao gồm hai công ty có trụ sở tại Hoa Kỳ — để dụ các nhà phát triển nhẹ dạ cả tin thông qua các cuộc phỏng vấn xin việc giả mạo và nhúng phần mềm độc hại vào kho lưu trữ phần mềm nguồn mở.

Chiến thuật mới này đánh dấu sự leo thang đáng kể trong chiến dịch đang diễn ra của Lazarus nhằm xâm nhập và khai thác các lĩnh vực tiền điện tử và Web3 toàn cầu.

Các công ty giả mạo của Hoa Kỳ làm mặt trận tấn công

Các nhà nghiên cứu bảo mật tại Silent Push đã phát hiện ra rằng các điệp viên mạng Triều Tiên, có liên hệ với Tập đoàn Lazarus khét tiếng, đã thành lập ít nhất hai công ty bình phong — Blocknovas LLC ở New Mexico và Softglide LLC ở New York — bằng cách sử dụng danh tính và địa chỉ giả.

Các công ty này đóng giả là công ty tư vấn tiền điện tử hợp pháp, đăng tin tuyển dụng trên các nền tảng như LinkedIn, Upwork và CryptoJobsList để thu hút các nhà phát triển.

Những tin tặc này cũng sử dụng hình ảnh do AI tạo ra để tạo hồ sơ nhân viên cho ba công ty tiền điện tử hàng đầu và đánh cắp hình ảnh của người thật.

"Có rất nhiều nhân viên giả mạo và hình ảnh đánh cắp từ người thật đang được sử dụng trên mạng này. Chúng tôi đã ghi lại một số hình ảnh giả mạo và đánh cắp rõ ràng, nhưng điều rất quan trọng là phải hiểu rằng các nỗ lực mạo danh từ chiến dịch này là khác biệt".

Trong quá trình phỏng vấn, kẻ tấn công sẽ nhắc ứng viên tải xuống tệp hoặc nhấp vào liên kết, trên thực tế sẽ phát tán phần mềm độc hại được thiết kế để đánh cắp thông tin đăng nhập, khóa ví tiền điện tử và dữ liệu nhạy cảm.

Một phần của trò gian lận này là thông báo lỗi sẽ xuất hiện khi ứng viên cố gắng ghi lại video giới thiệu. "Giải pháp" được đưa ra là sao chép và dán một đoạn mã — một thủ thuật cuối cùng dẫn đến việc cài đặt phần mềm độc hại nếu hoàn tất.

Theo công ty an ninh mạng Silent Push, ba loại phần mềm độc hại riêng biệt — BeaverTail, InvisibleFerret và Otter Cookie — hiện đang được triển khai tích cực như một phần của chiến dịch này.

Blocknovas là công ty giả mạo hoạt động tích cực nhất và FBI đã tịch thu tên miền của công ty này sau khi xác nhận nó được sử dụng để phát tán phần mềm độc hại dưới chiêu bài tuyển dụng việc làm.

Hoạt động này, được gọi là "Phỏng vấn lây nhiễm", là một phần trong nỗ lực rộng lớn hơn của Lazarus nhằm xâm nhập và khai thác lĩnh vực tiền điện tử. Để tăng cường độ tin cậy, những kẻ tấn công đã sử dụng hồ sơ nhân viên do AI tạo ra và cơ sở hạ tầng kinh doanh giả mạo.

Phần mềm độc hại này không chỉ xâm phạm ví cá nhân mà còn cho phép thực hiện các cuộc tấn công tiếp theo vào các công ty bằng cách thu thập mật khẩu và thông tin đăng nhập nhạy cảm.

Tấn công chuỗi cung ứng thông qua GitHub và NPM

Ngoài các chiến thuật tấn công kỹ thuật xã hội, Lazarus còn tăng cường nỗ lực bằng cách nhắm vào các chuỗi cung ứng phần mềm, đưa JavaScript độc hại vào kho lưu trữ GitHub và các gói NPM — các công cụ thiết yếu được các nhà phát triển tiền điện tử và Web3 sử dụng rộng rãi.

Một biến thể phần mềm độc hại cụ thể, Marstech1, được thiết kế bằng các kỹ thuật che giấu và chống phân tích tinh vi để tránh bị phát hiện.

Sau khi cài đặt, nó sẽ quét các ví phổ biến như MetaMask, Exodus và Atomic, trích xuất khóa riêng tư và sửa đổi cài đặt trình duyệt để chặn các giao dịch tiền điện tử.

SecurityScorecard xác nhận có ít nhất 233 nạn nhân trên toàn cầu, cảnh báo rằng rủi ro có thể mở rộng lên hàng triệu người nếu phần mềm độc hại này được tích hợp vào các dự án phần mềm được sử dụng rộng rãi.

FBI đã có hành động để ngăn chặn các hoạt động này, tịch thu các tên miền như Blocknovas và đưa ra cảnh báo về mối đe dọa dai dẳng và ngày càng gia tăng do các tác nhân mạng Triều Tiên gây ra.

Các chuyên gia nhấn mạnh rằng những chiến dịch này không chỉ tài trợ cho chế độ Bình Nhưỡng mà còn gây ra rủi ro đáng kể và ngày càng gia tăng đối với an ninh và sự ổn định của hệ sinh thái tiền điện tử toàn cầu.