Северокорейская хакерская группа Lazarus создала фиктивные компании в США, чтобы распространять вредоносное ПО среди разработчиков криптовалютных проектов, сообщается в отчете исследовательской компании Silent Push. Злоумышленники зарегистрировали как минимум две компании и использовали их в качестве прикрытия для рассылки предложений о работе, имитируя собеседования.
Для создания фейковых профилей сотрудников применялся искусственный интеллект, разработанные блоги и страницы в соцсетях. В настоящее время на доменах компаний размещена заглушка от ФБР с предупреждением о действиях хакеров из КНДР. Эта кампания связана с подразделением Contagious Interview, целью которого было получение доступа к криптокошелькам и учетным данным разработчиков для последующих атак на инфраструктуру компаний.
Тактика с поддельными предложениями о работе уже приводила к серьезным инцидентам, таким как взлом моста Ronin в 2022 году, в результате которого было украдено 625 миллионов долларов в ETH и USDC. По данным ООН и Chainalysis, группы, связанные с КНДР, похитили более 3 миллиардов долларов в криптовалютах за последние пять лет.
Также Lazarus причастен к недавнему взлому криптобиржи Bybit, в результате которого было выведено 1,4 миллиарда долларов. После инцидента Bybit объявила "войну" северокорейским хакерам и предложила вознаграждение за помощь в восстановлении средств.