แฮกเกอร์เกาหลีเหนือโจมตีบริษัท AI และคริปโตผ่านการสัมภาษณ์ปลอม มี IP มากกว่า 3,100 รายได้รับผลกระทบ

Odaily รายงานว่า กลุ่มแฮกเกอร์เกาหลีเหนือ PurpleBravo ได้เปิดปฏิบัติการสรรหาบุคลากรปลอมขนาดใหญ่ โดยกำหนดเป้าหมายโจมตีที่อยู่ IP มากกว่า 3,100 ราย ซึ่งเกี่ยวข้องกับบริษัท AI คริปโตเคอร์เรนซี และบริการทางการเงิน ผู้โจมตีแอบอ้างเป็นผู้สรรหาบุคลากรหรือนักพัฒนาผ่านแพลตฟอร์มอย่าง LinkedIn ชักจูงให้ผู้สมัครงานปฏิบัติงานสัมภาษณ์ทางเทคนิคบนอุปกรณ์ขององค์กร ซึ่งรวมถึงการตรวจสอบโค้ดหรือโคลน Git repository ที่เป็นอันตราย เพื่อติดตั้งม้าโทรจันเข้าถึงระยะไกล PylangGhost และ GolangGhost เพื่อขโมยข้อมูลประจำตัวเบราว์เซอร์

ปฏิบัติการครั้งนี้ส่งผลให้องค์กร 20 แห่งในเอเชียใต้ อเมริกาเหนือ และยุโรปตกเป็นเหยื่อ การวิจัยแสดงให้เห็นว่ากลุ่มแฮกเกอร์ใช้ตัวตนปลอมของยูเครนเพื่อปกปิด และใช้ Microsoft Visual Studio Code ที่ติดอาวุธเพื่อฝังแบ็กดอร์ ปัจจุบันตรวจพบว่ากลุ่มนี้ใช้ Astrill VPN และเซิร์ฟเวอร์ C2 ที่ตั้งอยู่ในจีนเพื่อซ่อนร่องรอย โดยกิจกรรมที่เกี่ยวข้องมีส่วนทับซ้อนกับคลัสเตอร์ Contagious Interview