Il gruppo di hacker nordcoreano Lazarus ora utilizza LinkedIn per prendere di mira gli utenti vulnerabili e rubare le loro risorse tramite attacchi malware mirati.

L'incidente è venuto alla luce dopo che la società di analisi della sicurezza blockchain SlowMist ha rivelato che gli hacker del gruppo Lazarus fingono di cercare lavoro come sviluppatori blockchain nel settore delle criptovalute tramite LinkedIn.

SlowMist ha affermato che gli hacker rubano le credenziali riservate dei dipendenti dopo aver invitato l'accesso al loro repository per eseguire il codice pertinente. I frammenti di codice eseguiti dall'hacker contengono codice dannoso che ruba informazioni riservate e quindi risorse.

Fonte: SlowMist

Usare LinkedIn per attacchi mirati non è una metodologia nuova e il gruppo di hacker nordcoreano ha utilizzato una tattica simile nel dicembre dello scorso anno, fingendosi un falso reclutatore di Meta.

Dopo aver contattato le vittime tramite LinkedIn, il falso reclutatore ha chiesto ai "candidati" presi di mira di scaricare due sfide di codifica nell'ambito della procedura di assunzione. Questi due file di codifica contenevano malware e, quando venivano eseguiti su un computer di lavoro, rilasciavano un trojan che consentiva l'accesso remoto.

Il famigerato gruppo di hacker ha rubato oltre 3 miliardi di dollari in criptovalute. È tra i gruppi di hacking più noti e organizzati emersi per la prima volta nel 2009 e continua a prendere di mira le aziende crittografiche nonostante le numerose sanzioni contro di loro.

Il gruppo di hacker è noto per l'utilizzo di metodi innovativi per prendere di mira e rubare fondi. Nell'agosto 2023, il gruppo ha utilizzato falsi colloqui di lavoro per rubare 37 milioni di dollari dalla società di pagamenti crittografici CoinPaid. Gli hacker hanno tentato di infiltrarsi nell'infrastruttura CoinsPaid prendendo di mira le persone attraverso false offerte di lavoro ad alto stipendio.

Correlato: Il Tesoro americano sanziona il mixer di criptovalute Sinbad, per presunti legami con la Corea del Nord

Il gruppo è stato responsabile di alcune delle più grandi rapine nel settore delle criptovalute, tra cui l'hack Ronin Bridge che è stato il più grande, con un furto di 625 milioni di dollari.

Il gruppo di hacker utilizza spesso servizi di mixaggio di criptovalute per riciclare nella Corea del Nord i fondi rubati che, secondo molti rapporti, vengono utilizzati per finanziare le operazioni militari del paese.

Sebbene le aziende crittografiche siano spesso l’obiettivo di questi gruppi di hacker, la natura decentralizzata della blockchain rende loro difficile spostare i propri fondi. Una volta identificati, vengono spesso tracciati e bloccati con l'aiuto di piattaforme crittografiche.

Nel febbraio 2023, Huobi e Binance hanno congelato asset crittografici legati alla Corea del Nord per un valore di 1,4 milioni di dollari. Allo stesso modo, anche gli asset legati all’hacking di Harmony Bridge sono stati congelati dagli scambi di criptovalute per un valore di 63 milioni di dollari.

Rivista: Rischio di deposito: cosa fanno realmente gli scambi di criptovalute con i tuoi soldi?