- 26,412
- 46
- 8 Ноя 2022
Техническое задание оказалось идеальной приманкой для десятков компаний.
Северокорейская группа PurpleBravo уже более года ведёт целенаправленную вредоносную кампанию под названием Contagious Interview , в рамках которой использовались фальшивые собеседования для атаки на компании в Европе, Азии, на Ближнем Востоке и в Центральной Америке. Специалисты компании Recorded Future* выявили 3136 IP-адресов, предположительно связанных с целями этой операции, а также 20 организаций, ставших жертвами. Среди них компании из сферы искусственного интеллекта, криптовалют, финансов, IT-услуг, маркетинга и разработки программного обеспечения.
Атаки проводились с августа 2024 года по сентябрь 2025 года. Больше всего целевых IP-адресов было зафиксировано в Южной Азии и Северной Америке. Пострадавшие компании располагались в Бельгии, Болгарии, Индии, Италии, Коста-Рике, Нидерландах, Объединённых Арабских Эмиратах, Пакистане, Румынии и Вьетнаме. Авторы отчёта отмечают, что в некоторых случаях вредоносный код запускался непосредственно на рабочих устройствах, после чего риск выходил за рамки отдельного пользователя и распространялся на всю организацию.
Одним из механизмов заражения стала подмена проектов в Visual Studio Code. Пользователям предлагались задания с вредоносными файлами, маскирующимися под рабочие проекты. Это позволяло злоумышленникам устанавливать бэкдоры и получать доступ к корпоративной инфраструктуре.
Также были обнаружены фальшивые профили на <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>, за которыми стояли участники PurpleBravo. Они представлялись разработчиками и рекрутёрами, якобы находящимися в Одессе, и использовали для распространения вредоносного кода несколько репозиториев на GitHub .
Команда PurpleBravo управляет как минимум двумя наборами серверов управления для разных типов вредоносного ПО. Один из них — это инфостилер на JavaScript под названием BeaverTail, другой — бэкдор GolangGhost, написанный на Go и основанный на открытом проекте HackBrowserData. Серверы размещены у 17 различных провайдеров, администрируются через <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-сервис Astrill и используют IP-адреса из Китая.
Параллельно с Contagious Interview существует ещё одна активность, получившая название Wagemole. В рамках этой схемы сотрудники из КНДР устраиваются в зарубежные компании, скрывая своё происхождение. Несмотря на различия, между двумя направлениями зафиксированы совпадения по используемой инфраструктуре и тактикам. Зафиксированы случаи, когда один и тот же IP-адрес, связанный с PurpleBravo, использовался также для управления активностью, связанной с Wagemole.
Одна из ключевых уязвимостей, которую использует PurpleBravo, — это доверие компаний к внешним подрядчикам и кандидатам. Злоумышленники передают задания якобы на техническую оценку, а кандидаты, не подозревая об угрозе, запускают вредоносный код на выданных устройствах. Такая схема приводит к тому, что компрометация происходит не на уровне отдельного человека, а сразу всей организации. Особенно уязвимыми оказываются компании с большой клиентской базой, что создаёт серьёзные риски для цепочки поставок программного обеспечения.
<span style="font-size: 10pt;">* Recorded Future признана нежелательной организацией в России.</span>
Северокорейская группа PurpleBravo уже более года ведёт целенаправленную вредоносную кампанию под названием Contagious Interview , в рамках которой использовались фальшивые собеседования для атаки на компании в Европе, Азии, на Ближнем Востоке и в Центральной Америке. Специалисты компании Recorded Future* выявили 3136 IP-адресов, предположительно связанных с целями этой операции, а также 20 организаций, ставших жертвами. Среди них компании из сферы искусственного интеллекта, криптовалют, финансов, IT-услуг, маркетинга и разработки программного обеспечения.
Атаки проводились с августа 2024 года по сентябрь 2025 года. Больше всего целевых IP-адресов было зафиксировано в Южной Азии и Северной Америке. Пострадавшие компании располагались в Бельгии, Болгарии, Индии, Италии, Коста-Рике, Нидерландах, Объединённых Арабских Эмиратах, Пакистане, Румынии и Вьетнаме. Авторы отчёта отмечают, что в некоторых случаях вредоносный код запускался непосредственно на рабочих устройствах, после чего риск выходил за рамки отдельного пользователя и распространялся на всю организацию.
Одним из механизмов заражения стала подмена проектов в Visual Studio Code. Пользователям предлагались задания с вредоносными файлами, маскирующимися под рабочие проекты. Это позволяло злоумышленникам устанавливать бэкдоры и получать доступ к корпоративной инфраструктуре.
Также были обнаружены фальшивые профили на <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>, за которыми стояли участники PurpleBravo. Они представлялись разработчиками и рекрутёрами, якобы находящимися в Одессе, и использовали для распространения вредоносного кода несколько репозиториев на GitHub .
Команда PurpleBravo управляет как минимум двумя наборами серверов управления для разных типов вредоносного ПО. Один из них — это инфостилер на JavaScript под названием BeaverTail, другой — бэкдор GolangGhost, написанный на Go и основанный на открытом проекте HackBrowserData. Серверы размещены у 17 различных провайдеров, администрируются через <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-сервис Astrill и используют IP-адреса из Китая.
Параллельно с Contagious Interview существует ещё одна активность, получившая название Wagemole. В рамках этой схемы сотрудники из КНДР устраиваются в зарубежные компании, скрывая своё происхождение. Несмотря на различия, между двумя направлениями зафиксированы совпадения по используемой инфраструктуре и тактикам. Зафиксированы случаи, когда один и тот же IP-адрес, связанный с PurpleBravo, использовался также для управления активностью, связанной с Wagemole.
Одна из ключевых уязвимостей, которую использует PurpleBravo, — это доверие компаний к внешним подрядчикам и кандидатам. Злоумышленники передают задания якобы на техническую оценку, а кандидаты, не подозревая об угрозе, запускают вредоносный код на выданных устройствах. Такая схема приводит к тому, что компрометация происходит не на уровне отдельного человека, а сразу всей организации. Особенно уязвимыми оказываются компании с большой клиентской базой, что создаёт серьёзные риски для цепочки поставок программного обеспечения.
<span style="font-size: 10pt;">* Recorded Future признана нежелательной организацией в России.</span>
- Источник новости
- www.securitylab.ru
