Der neue nordkoreanische Arbeits Betrug, der gestohlene Identitäten und echte LinkedIn-Konten verwendet, um infiltrieren

In den letzten Monaten ist klar geworden, dass eine alte Form von Arbeitsbetrug in Raffinesse und Umfang eskaliert hat: Gruppen, die mit der Demokratischen Volksrepublik Korea verbunden sind, haben sich von supplantierenden Identitäten bewegt, um Formulare auszufüllen, um sich in Auswahlverfahren mit echten LinkedIn-Konten, die zu Menschen gehören, zu präsentieren. Laut Publikationen der Security Alliance in X haben die verwendeten Profile oft verifizierte und unverwechselbare Unternehmens-E-Mails, die im Aussehen betrügerische Anwendungen völlig legitim erscheinen lassen (Quelle). Es geht nicht nur darum, einen Lebenslauf zu stehlen: die Angreifer versuchen, Präsenz und Vertrauen in Unternehmen zu etablieren, die ihnen erlaubt, sich freier zu bewegen, sobald sie Zugang erhalten.

Dieses Phänomen ist Teil einer hartnäckigen Operation, die von verschiedenen Akteuren des Sektors dokumentiert wird, in der angeblich "entfernte Arbeiter" von westlichen Unternehmen unter Verwendung gestohlener oder hergestellter Identitäten eingestellt werden. Forscher und Sicherheitsunternehmen haben diese Aktivität seit Jahren verfolgt und auf verschiedene Weise getauft: Jasper Sleet, PurpleDelta, Wagemole, unter anderem Namen, aber das Muster ist konsequent. Das Ziel ist zweifach: den wirtschaftlichen Wert zu extrahieren und gleichzeitig den Zugang zu sensiblen Informationen für Spionage oder Erpressung zu erhalten. Spezialisierte Firmen haben das Programm als eine stabile Einkommensquelle für die nordkoreanische Diktatur beschrieben, sowie einen Vektor für die Beschaffung von administrativen Privilegien in der kritischen Software-Infrastruktur (KELA-Analyse) und (Silent Push-Untersuchung).

Auf finanzieller Ebene wurde auch das Endziel der von diesen Akteuren erzielten Löhne untersucht. Blockchain-Analyseberichte zeigen, wie sich die Gewinne durch Ketten bewegen, durch unterschiedliche Token austauschen und dezentrale Brücken überqueren, um das Tracking und die Verbindung zwischen Quelle und Ziel des Fonds zu komplizieren (Chainalyse). Die Kombination von gestohlener Identität, Zugang zu Unternehmen und fortgeschrittenen kryptoaktiven Mischtechniken schafft eine hart zugeschnittene Kette für diejenigen, die den Geldfluss untersuchen oder versuchen, zu blockieren.

Parallel zur falschen Rekrutierung haben Social Engineering-Kampagnen speziell für das Opfer entwickelt, um bösartigen Code während des Auswahlprozesses auszuführen. In der Kampagne, die als "Contagious Interview" bekannt ist, ziehen die Angreifer Kandidaten von LinkedIn mit Stellenangeboten an und rufen bei scheinbar normalen Interviews technische Tests an, die das Klonen eines GitHub-Repositorys und laufende Befehle beinhalten. In einigen Angriffen wurden sie gebeten, npm-Pakete zu installieren, die schädliche Belastung, die Autoren erlaubt, Malware auf die Opfer Maschinen laufen; andere Varianten haben Visual Studio Code-Aufgaben verwendet, die JavaScript als Web-Quellen verkleidet laufen, schließlich Bereitstellung von Malware-Familien wie BeaverTail oder InvisibleFerret zu stehlen Anmeldeinformationen und Kryptomoneda-Münzen (technische Erklärung für Fireblocks) und (Abstract Security Follow-up).

Die Techniken sind nicht auf einfache schädliche Pakete beschränkt: In einigen Angriffen wurde die Verwendung einer Methode namens EtherHelling, die Smart Contracts verwendet und die Lockchain, um Befehle und Kontrollinfrastruktur wiederherzustellen, dokumentiert, die die Entfernung von schädlichen Servern weiter erschwert, indem sie auf öffentlichen und unveränderlichen Netzwerken verteilt werden. (technisches Detail). Eine weitere Kampagne von Forschern verfolgt einen modularen Fernzugriff Trojan namens Koalemos durch infizierte npm-Pakete; diese RAT macht System Fingerabdruck, hält Signalisierungsschleifen mit externen Servern und unterstützt mehrere Befehle, auf Dateien zu arbeiten, Daten zu übertragen und beliebigen Code auszuführen (Weitere Analyse). Der Favitio-Vektor dieser Gruppen ist oft die legitime Software oder die Toolchain des Entwicklers - Repositories, Pakete und IDE Aufgaben - weil es die direkteste Möglichkeit ist, Code in vertrauenswürdigen Umgebungen auszuführen.

Die Reaktion des Sicherheits-Ökosystems hat auch die Evolution gezeigt. Nachrichtenunternehmen und Cyber-Sicherheitsunternehmen weisen darauf hin, dass nordkoreanische Gruppen wie Labyrinth Chollima ihre Operationen in Einheiten mit differenzierten Zielen und Methoden zerlegt haben: Einige konzentrieren sich auf systematische Diebstahl von Kryptoaktiv in kleinen Volumina, andere suchen größere Schlaganfälle gegen bestimmte Ziele mit anspruchsvolleren Werkzeugen, und ein Drittel hält Profile für Spionage mit Rootkits und fortgeschrittenen Persistenztechniken. Obwohl sie mit unterschiedlichen Namen arbeiten, teilen sie Infrastruktur und Tools, was eine zentrale Koordinierung vorschlägt, die Ressourcen und Kenntnisse zwischen verschiedenen Zellen optimiert (CrowdStrike-Bericht).

Die Auswirkungen auf Unternehmen und Fachleute sind klar und beunruhigend. Auf individueller Ebene kann ein kompromittierter oder supplantierter LinkedIn-Account verwendet werden, um für Dutzende von offenen Stellen zu laufen und einen legitimen "Arbeitsweg" zu etablieren, der in den Augen eines kleinen vorsichtigen Rekrutierers keinen Verdacht aufwirft. Auf Unternehmensebene kann ein Remote-Entwickler mit Zugriff auf Repositories oder kontinuierliche Integrationsumgebungen zu einer Eingangstür werden, um Hintertüren zu implementieren, Quellcode zu extrahieren und Seitenbewegungen auszuführen. Die norwegische Sicherheitspolizei (PST) hat sogar auf Fälle aufmerksam gemacht, in denen die Unternehmen in Norwegen angestellt haben, was wahrscheinlich nordkoreanische Arbeiter in abgelegenen Positionen sein dürften, deren Gehälter Regimewaffenprogramme finanzieren könnten. (PST-Anweisung).

Die gute Nachricht ist, dass viele der effektivsten Maßnahmen gegen diese Social Engineering-Taktiken sind einfache und überprüfbare Prozesse: den Kandidat zu bitten, eine Corporate Mail zu bestätigen, direkte Interaktion im professionellen Netzwerk zu verlangen, das Eigentum an dem Konto zu überprüfen, Video-Lamaada mit Unternehmensidentifikation zu verlangen oder technische Schritte durchzuführen, die die direkte Ausführung von unbekannten Code auf Maschinen mit Zugang zu sensiblen Ressourcen verhindern. Aus technischer Sicht ist es angebracht, Bewertungsumgebungen zu isolieren, Sandboxing für jedes externe Paket, Audit-Abhängigkeiten zu verwenden, CI / CD-Pipeline zu schützen und strenge Mindestprivilegien-Richtlinien in den Repositorien anzuwenden. Es ist auch wichtig, die Übertragungen von digitalen Vermögenswerten und ungewöhnlichen Abzugsmustern zu überwachen, um mögliche frühe illegale Ströme zu erkennen (Chainalyseempfehlungen).

Für diejenigen, die vermuten, dass ihre Identität in Auswahlverfahren verwertet worden ist, ist eine schnelle und öffentliche Reaktion oft wirksam: Warnung an sozialen Profilen, Veröffentlichung offizieller Kontaktkanäle und Erklärung der Überprüfung ihrer Identität (z.B. Angabe einer Unternehmenspost oder einer bekannten Authentifizierungsmethode). Von der Geschäftsseite aus bleibt die manuelle Verifikation wertvoll: die Person zu bitten, sich von ihrem realen LinkedIn-Konto zu verbinden, auf eine verifizierte E-Mail-Adresse zu reagieren und eine kurze Echtzeit-Interaktion mit einem internen Manager kann einen Großteil der Subplantationen filtern. Die Kombination von technischen Kontrollen und gesundem Menschenverstand in Personal- und Entwicklungsprozessen ist die beste Verteidigung gegen solche Angriffe.

Schließlich ist es wichtig zu erinnern, dass dieses Phänomen keine seltene Anomalie ist: Es ist eine logische Entwicklung von Akteuren, die soziale Ingenuität, Kenntnisse des Entwicklungsökosystems und fortgeschrittene Finanztechniken kombinieren. Die Koexistenz von Kampagnen wie Contagious Interview, schädliche Paketversorgungsoperationen und Gruppenaktivitäten, die Lazarus oder Labyrinth Chollima zugeschrieben werden, zeigt, dass die Bedrohung multidimensional und persistent ist. Um informiert zu werden, strenge Kontrollen in den Rekrutierungsprozessen anzuwenden und technische Verteidigungen um Einheiten und Rohrleitungen zu verschärfen sind unverzichtbare Schritte, um die Angriffsfläche zu reduzieren und sowohl Mitarbeiter als auch Organisationen vor diesen zunehmend polierten Taktiken zu schützen.