کمیته رکن چهارم – گروه هکری لازاروس، وابسته به کره شمالی، کمپین جدیدی را برای هدف قرار دادن کیفپولهای رمزارز و کاربران حرفهای بخش گردشگری آغاز کرده است. این گروه از پیشنهادات شغلی جعلی در لینکدین برای انتشار بدافزار پیچیدهای استفاده میکند که توانایی آلوده کردن سیستمهای ویندوز، macOS و لینوکس را دارد.
به گزارش کمیته رکن چهارم، طبق یافتههای شرکت امنیتی Bitdefender، این حمله با ارسال پیامهای شغلی جذاب آغاز میشود. مهاجمان خود را بهعنوان استخدامکننده معرفی کرده و به قربانیان وعده کار از راه دور با شرایط مطلوب میدهند. در ادامه، آنها درخواست اطلاعاتی مانند رزومه و لینک گیتهاب قربانی را مطرح میکنند تا با استفاده از آن، اعتماد و تعامل بیشتری برقرار کنند.
پس از دریافت اطلاعات قربانی، مهاجم لینکی به یک مخزن کد در GitHub یا Bitbucket ارسال میکند. این مخزن حاوی نسخه اولیه یک پروژه جعلی است که قربانی تشویق به بررسی کدهای آن میشود. در کد پروژه، یک کد مخفی جاوااسکریپتی تعبیه شده است که بدافزاری برای سرقت اطلاعات کیفپولهای رمزارز نصبشده در مرورگر کاربر را دانلود میکند.
این اسکریپت علاوه بر سرقت دادهها، بهعنوان یک لودر عمل کرده و یک بکدور پایتونی را بارگیری میکند. این بکدور قابلیتهای مختلفی از جمله نظارت بر محتوای کلیپبورد، دسترسی از راه دور، اجرای ماینر رمزارز و ضبط لاگهای کیبورد را دارد. این ابزار مخرب همچنین با استفاده از یک فایل باینری .دات نت یک سرور پراکسی تور (TOR) برای ارتباط امن با سرور فرمان و کنترل (C2) راهاندازی میکند.
بیتدیفندر تأکید دارد که این تاکتیکها شباهت زیادی به کمپینهای پیشین تحت عناوین Contagious Interview و DeceptiveDevelopment دارند. این کمپینها به انتشار بدافزارهای معروفی مانند BeaverTail و InvisibleFerret منجر شدهاند.
گزارشهای متعددی از قربانیان این حملات در لینکدین و ردیت منتشر شده است. در برخی موارد، مهاجمان از قربانی میخواهند پروژههای Web3 را کلون کرده و بهصورت محلی اجرا کنند. یکی از این مخازن به نام miketoken_v2 دیگر در دسترس نیست.
این افشاگریها تنها یک روز پس از آن صورت گرفت که شرکت امنیتی SentinelOne از کمپین مشابهی برای انتشار بدافزاری به نام FlexibleFerret پرده برداشت. این اقدامات نشاندهنده پیشرفتهای پیچیده در حملات سایبری گروه لازاروس و افزایش تهدیدات علیه کاربران فعال در حوزههای رمزارز و فناوری است.
