Powolny Ryby Robi Wkręty Krypto Deweloperom za Pomocą Fałszywych Ofert Pracy

Image by Mohammad Rahmani, from Unsplash

Powolny Ryby Robi Wkręty Krypto Deweloperom za Pomocą Fałszywych Ofert Pracy

Przeczytasz w: 2 min

Ostatnia aktualizacja: Apr 15, 2025

Północnokoreańska grupa hakerska znana jako Slow Pisces oszukuje twórców kryptowalut, zmuszając ich do uruchomienia złośliwego kodu, który jest zamaskowany jako zadania związane z rekrutacją.

Spieszysz się? Oto najważniejsze informacje:

  • Malware aktywuje się po sprawdzeniu lokalizacji ofiary i konfiguracji systemu.
  • Malware działa w pamięci, nie pozostawiając śladów na dyskach twardych.
  • RN Stealer zbiera nazwy użytkowników, aplikacje i katalogi z systemów macOS.

Grupa, znana również jako Jade Sleet lub TraderTraitor, ukradła ponad miliard dolarów w kryptoaktywach i nadal prowadzi zaawansowane ataki mające na celu generowanie dochodów dla reżimu KRLD.

Według badaczy z dziedziny cyberbezpieczeństwa z Palo Alto Networks’ Unit 42, Slow Pisces kontaktuje deweloperów na LinkedIn udając rekruterów. Po nawiązaniu rozmowy, wysyłają fałszywy opis stanowiska w formacie PDF. Jeśli ofiara aplikuje, otrzymuje test kodowania, który obejmuje „prawdziwy projekt” umieszczony na GitHubie. Ten projekt jest naszpikowany złośliwym oprogramowaniem.

Te fałszywe projekty często wyglądają na prawdziwe i nawet pobierają dane z prawdziwych stron internetowych, takich jak Wikipedia. Ale ukryta wśród źródeł jest jedna szkodliwa strona kontrolowana przez hakerów. Złośliwe oprogramowanie jest aktywowane dopiero po potwierdzeniu lokalizacji i szczegółów systemu ofiary, co pozwala Slow Pisces uniknąć wykrycia.

Zamiast korzystać z oczywistych sztuczek hakerskich, które systemy zabezpieczeń mogą łatwo wykryć, napastnicy użyli bardziej podstępnego sposobu nazywanego deserializacją YAML. W skrócie, ukrywają niebezpieczny kod wewnątrz tego, co wygląda na nieszkodliwe pliki konfiguracyjne, co utrudnia jego wykrycie.

Po zainstalowaniu, złośliwe oprogramowanie działa w pamięci i nie pozostawia śladów na dysku twardym. Pobiera dodatkowe malware, nazwane RN Loader i RN Stealer. RN Loader zbiera podstawowe dane systemowe, natomiast RN Stealer gromadzi bardziej wrażliwe informacje, takie jak nazwy użytkowników, zainstalowane aplikacje i zawartość katalogów, zwłaszcza z systemów macOS.

Palo Alto Networks zgłosiło złośliwe konta na LinkedIn i GitHub. Oba portale odpowiedziały:

„GitHub i LinkedIn usunęli te złośliwe konta za naruszenie naszych odpowiednich warunków korzystania z usług […] Nadal rozwijamy i udoskonalamy nasze procesy i zachęcamy naszych klientów i członków do zgłaszania wszelkiej podejrzanej aktywności.”

Eksperci ds. bezpieczeństwa zalecają deweloperom ostrożność wobec nieproszonych wyzwań związanych z programowaniem i sprawdzanie adresów URL podlinkowanych w testach rekrutacyjnych.

Spodobał Ci się ten artykuł? Oceń go!
Był okropny Nie podobał mi się Był w porządku Był całkiem dobry! Był super!

Cieszymy się, że doceniasz to, co robimy!

Cenimy Twoją opinię. Czy możemy liczyć na ocenę na Trustpilot? Zajmie Ci to tylko chwilę. Będziemy zobowiązani. Dziękujemy za wsparcie!

Oceń nas na Trustpilot
0 Na podstawie głosów 0 użytkowników
Tytuł
Komentarz
Dziękujemy za Twoją opinię
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Zostaw komentarz

Loader
Loader Pokaż więcej...