Tin tặc Triều Tiên khai thác các công ty vỏ bọc của Hoa Kỳ để nhắm vào các nhà phát triển tiền điện tử

Trong một chiến dịch gián điệp mạng tinh vi, Lazarus Group của Bắc Triều Tiên đã thành lập ba công ty vỏ bọc—BlockNovas LLC, SoftGlide LLC và Angeloper Agency—để phân phối phần mềm độc hại nhắm vào các nhà phát triển tiền điện tử. Hai trong số các thực thể này, BlockNovas và SoftGlide, đã được đăng ký hợp pháp tại Hoa Kỳ bằng cách sử dụng tài liệu giả mạo, vi phạm lệnh trừng phạt quốc tế.

Chiến dịch, được các nhà phân tích an ninh mạng tại Silent Push gọi là "Phỏng vấn lây lan", bao gồm việc tạo ra các công ty tư vấn tiền điện tử giả để dụ các nhà phát triển vào các cuộc phỏng vấn xin việc gian lận. Trong các cuộc phỏng vấn này, các ứng viên được yêu cầu ghi lại video giới thiệu. Khi gặp phải thông báo lỗi được kích hoạt cố ý, họ được cung cấp một "giải pháp" sao chép-dán để cài đặt phần mềm độc hại một cách bí mật.

Ba chủng riêng biệt—BeaverTail, InvisibleFerret và OtterCookie—được triển khai. BeaverTail chủ yếu cho phép triển khai phần mềm độc hại và đánh cắp thông tin, trong khi InvisibleFerret và OtterCookie được thiết kế để trích xuất dữ liệu nhạy cảm, bao gồm khóa riêng tư và nội dung clipboard.

Zach Edwards, một nhà phân tích mối đe dọa cấp cao tại Silent Push, nhấn mạnh rằng các hoạt động này là một phần trong nỗ lực rộng lớn hơn của Triều Tiên nhằm tạo ra doanh thu thông qua trộm cắp mạng, được cho là để hỗ trợ chương trình vũ khí hạt nhân của nước này. FBI đã hành động bằng cách tịch thu tên miền liên quan đến BlockNovas, mặc dù cơ sở hạ tầng khác, bao gồm SoftGlide, vẫn hoạt động.

Hoạt động đang diễn ra này, lần đầu tiên được truy ngược trở lại năm 2024, đã gây ra một số nạn nhân đã biết. Ít nhất một nhà phát triển đã báo cáo rằng ví MetaMask của họ đã bị xâm phạm. Trong khi đó, những người khác đã ngăn chặn các nỗ lực liên quan đến các cuộc gọi Zoom giả mạo do những kẻ mạo danh đóng giả làm nhà tuyển dụng tiềm năng dàn dựng.

Nhóm Lazarus vẫn là nghi phạm chính đứng sau một số vụ trộm cắp mạng lớn nhất trong không gian Web3, bao gồm vụ xâm nhập mạng Ronin trị giá 600 triệu đô la và vụ tấn công Bybit trị giá 1.4 tỷ đô la.