北朝鮮の国家支援を受けたハッカーは、偽の身元と求人詐欺を使用してデータを盗み、政権の収益を生み出すために、世界中の企業に侵入するためにIT労働者になりすまし続けています。
Lazarusのようなグループに関連するこれらの操作は、ソーシャルエンジニアリングと採用チェックをバイパスするマルウェアを組み合わせて、機密ネットワークにアクセスします。最近のレポートでは、被害者システムにバックドアを埋め込みながら、フリーランスの仕事で数百万ドルを稼いでいることが示されています。
2025年、GitLabはこれらの人物に関連する131のアカウントを禁止し、彼らのプラットフォーム上の詳細なスキームを暴露しました。
ハッカーはGmailまたはカスタムドメインを使用することが多く、米国、ヨーロッパ、アジアの開発者になりすました偽のGitLabプロフィールを作成しました。
脅威行為者は2つの主な方向を実行します:「感染性インタビュー」と直接のIT労働者浸透です。感染性インタビューでは、LinkedInやフリーランスサイトの偽の採用者は、ブラウザで実行されたときまたはVS Codeで、Vercelまたはカスタムドメインからローダーを実行するコーディングテストを送信します。
これらのローダーは、.envファイルのbase64エンコードされたURLを介してペイロードを取得し、エラーハンドラーを使用して監査を回避します。その後、マルウェアは暗号盗難または横方向の移動のための認証情報を盗みます。
IT労働者スキームの場合、北朝鮮人はAIヘッドショット、ディープフェイク、盗まれたデータを使用して合成アイデンティティを構築します。
1つのGitLabケースは、北京で姜基南(Kil-Nam Kang)が率いるセルを明かにし、Web/モバイル開発契約のスプレッドシート経由で2022年から2025年の稼ぎから164万ドルを追跡しました。
別のオペレーターは5つの国にわたって21のペルソナを制御し、Photoshopを使用して彼らの写真でUS IDを改ざんしました。3番目は、モスクワから、フルタイムの米国/英国の仕事を求め、リモートアクセスのためにラップトップをホストするローカルを採用しました。
彼らは48のプライベートリポジトリをミラーリングしてコードを流出させました。111.197.183.74(カンのもの)などのIP、および多くのVPNがオリジンをマスク。passport-google-auth-tokenのような悪質なNPMパッケージが配信を支援しました。
これらのスキームは制裁回避を通じて兵器に資金を供給し、認識による2025年の収入の減少にもかかわらず、セルは四半期のターゲットに達しています。被害者にはフォーチュン500企業が含まれています。アマゾンは1,800の疑わしいアプリをブロックしました。内部に一度、俳優はコードベース、Slack、および暗号ウォレットにアクセスします。
企業は、動画を通じて採用を確認し(ライブの質問はディープフェイクを打つ)、地理的ロックIP、およびIOCをスキャンする必要があります。求職者は実行前にコードを監査し、偽物を報告します。
翻訳元: https://cyberpress.org/dprk-poses-as-it/