I ricercatori del threat intelligence team di Palo Alto Networks hanno recentemente individuato due campagne distinte, condotte da attori sponsorizzati dallo stato, riconducibili alla Corea del Nord, che prendono di mira attività di ricerca di lavoro.
Unit 42, ha analizzato due attività condotte all’interno del settore della ricerca di lavoro, perpetrate da un gruppo di cybercriminali nordcoreani. Qui di seguito i dettagli delle campagne.
“Contagious Interview” e l’offerta di lavori fittizi
I ricercatori hanno definito la prima campagna “Colloquio contagioso” o “Contagious Interview”. Attraverso annunci su piattaforme di ricerca di lavoro, i criminali informatici si rivolgono a sviluppatori software fingendosi un potenziale datore di lavoro. Gli annunci che si possono collegare a questa campagna sono spesso anonimi o volutamente vaghi, senza informazioni reali sull’azienda che fingono di rappresentare. Sulla base di alcuni nomi di file del malware associato a questa attività, Unit 42 ritiene che possano anche fingersi aziende o agenzie di recruitment legittime legate al mondo dell’AI, delle criptovalute e degli NFT.
Dopo aver stabilito un contatto, il cybercriminale invita la vittima a partecipare a un colloquio online, in videoconferenza o tramite altri comuni strumenti di collaborazione. Durante il colloquio, l’attore convince la vittima a scaricare e installare un pacchetto basato su NPM ospitato su GitHub, presentandolo come software da esaminare o analizzare, ma che in realtà contiene JavaScript dannosi progettati per infettare l’host della vittima con un malware backdoor.
Durante l’analisi della telemetria, Unit 42 ha scoperto attività sospette relative a campioni di malware precedentemente non identificati già a partire da marzo 2023. Le indagini hanno rivelato due nuove famiglie di malware e le tattiche utilizzate in questa campagna sono in linea con le attività precedentemente segnalate dagli attori delle minacce nordcoreane, e la sua struttura è stata progettata già nel dicembre 2022.
È possibile attribuire, con moderata sicurezza, che “Contagious Interview” sia una minaccia sponsorizzata dallo Stato della Corea del Nord. Gli sviluppatori software sono spesso l’anello più debole degli attacchi alla supply chain e le offerte di lavoro fraudolente sono un problema continuo, motivo per cui ci si aspetta un’attività costante da parte di Contagious Interview.
“Wagemole” e il rischio insider
La seconda campagna è stata denominata dai ricercatori “Wagemole”, e vede i cyber criminali impegnati nel cercare un impiego presso aziende con sede negli Stati Uniti e in altri paesi, per ottenere l’opportunità di inserire minacce interne nelle aziende target, con l’obiettivo di ritorni economici e attività di spionaggio.
Durante la ricerca sull’infrastruttura Github associata a Contagious Interview, Unit 42 ha scoperto dei file esposti accidentalmente in un repository GitHub su un account GitHub diverso, che includono:
- Curriculum con identità false di persone di varie nazionalità e competenze tecniche
- Domande e risposte frequenti ai colloqui di lavoro
- Script di introduzione che includono informazioni personali dell’identità impersonata
- Copie di annunci di lavoro nel settore IT di aziende statunitensi.
- Copia scansionata di un permesso di soggiorno permanente negli Stati Uniti rubato.
Il loro obiettivo è candidarsi per posti di lavoro nel settore IT presso un’ampia gamma di aziende, tra cui importanti società di tecnologia, servizi finanziari, appaltatori della difesa e consulenti IT. Anche in questo caso, si può attribuire con elevata sicurezza che “Wagemole” sia una minaccia sponsorizzata della Corea del Nord.
Cosa possono fare sviluppatori e datori di lavoro per identificarli?
Entrambe le campagne rimangono attive e costanti e Unit 42 continuerà a monitorarle per identificare e segnalare nuovi rischi alle autorità competenti, clienti e potenziali target.
Per contrastare “Contagious Interview” e molte altre minacce, gli sviluppatori di software non dovrebbero utilizzare un computer aziendale per attività personali o non legate alle proprie specifiche attività, come i colloqui di lavoro, in quanto potrebbero offrire agli attori delle minacce l’opportunità di accedere alla rete aziendale con malware.
Gli sviluppatori dovrebbero anche diffidare di account GitHub che contengono un unico repository con pochi o nessun aggiornamento. I criminali informatici abusano spesso di servizi gratuiti come GitHub per distribuire malware. Nessuno dovrebbe installare file sconosciuti da fonti non verificate sui propri computer, aziendali o personali.
In aggiunta, i candidati dovrebbero verificare l’esistenza e la legittimità delle società che offrono colloqui di lavoro, nonché controllare che i potenziali intervistatori operino effettivamente per le società che affermano di rappresentare. È inoltre consigliabile fare attenzione a scaricare e installare software di comunicazione insoliti o scaricare pacchetti software come prerequisito per ottenere un colloquio.
Infine, per quanto concerne la campagna “Wagemole”, i datori di lavoro dovrebbero controllare in modo preliminare e accurato tutti i candidati alla posizione. Le identità false sono un problema sempre più diffuso sulle piattaforme social del settore e gli attori delle minacce possono facilmente generare un alias per lavorare da remoto. Se i colloqui di persona non sono possibili, è opportuno intervistare i candidati tramite videocall. Attenzione anche a chi si candida per un lavoro in sede, dichiara di essere attualmente fuori area e poi offre disponibilità immediata per un lavoro a distanza. Anche per quanto riguarda i ruoli da remoto, i datori di lavoro dovrebbero diffidare di tutto ciò che sembra insolito in un candidato durante il processo di assunzione.
