Pelaku ancaman di Korea Utara menyamar sebagai perekrut dan pencari kerja di Internet, menipu perusahaan dan pelamar demi keuntungan finansial dan, mungkin, untuk mendapatkan akses ke organisasi-organisasi Barat.

Unit 42 Palo Alto Networks minggu ini menerbitkan rinciannya dua kampanye yang sedang berlangsung itu dilacak sebagai "Wawancara Menular" dan "Wagemole".

Untuk Wawancara Menular, pelaku ancaman dari Republik Demokratik Rakyat Korea (DPRK) bertindak sebagai pemberi kerja, memposting tentang lowongan pekerjaan palsu, dan berinteraksi dengan pelamar tanpa disadari. Kemudian, selama proses pemeriksaan, mereka membujuk para pelamar untuk memasang pencuri informasi lintas platform yang canggih.

Di Wagemole, para penjahat bertukar peran, mengenakan persona palsu untuk melamar pekerjaan di organisasi mapan yang berbasis di AS dan di tempat lain.

Seperti yang dijelaskan oleh Michael Sikorski, chief technology officer dan wakil presiden Unit 42, tipu muslihat rumit ini menghasilkan rekayasa sosial yang jauh lebih dapat dipercaya daripada email phishing biasa.

“Orang-orang dibombardir dengan email sepanjang hari — kebanyakan email tersebut dibuang ke tempat sampah, atau bahkan ditandai sebagai spam. Jadi ini adalah upaya untuk beralih dan membuatnya tampak lebih realistis,” katanya.

Menipu Pencari Kerja

Korea Utara telah lama menjadi sumber spionase kreatif dan kejahatan siber finansial. Selain pencurian cyber tradisional — yang produktif – pasukan Kim Jong Un, pemimpin negara tersebut, juga telah melakukan perjalanan ke luar jalur, memasuki wilayah kekuasaan dan dengan taktik yang sebagian besar tidak terlihat di tempat lain di dunia.

Misalnya, para peretas yang disponsori negara telah menyamar sebagai perekrut untuk pekerjaan-pekerjaan teknologi tinggi, memikat para pengembang untuk terlibat dalam malware yang terkadang menunggu berminggu-minggu atau berbulan-bulan selama jangka waktu tertentu. Salah satu kasus yang terjadi tahun lalu menyebabkan pencurian Axie Infinity, game bayar untuk bermain Web3 yang populer, bernilai total setengah miliar dolar.

Tampaknya, sejak saat itu, para peretas berusaha mengulangi kesuksesan tersebut.

Setidaknya sejak bulan Maret, pelaku ancaman di balik Contagious Interview telah memposting lowongan pekerjaan yang tidak jelas untuk pengembang perangkat lunak atau pekerjaan yang secara khusus disesuaikan dengan bidang AI dan Web3. Setelah melakukan kontak awal melalui media sosial, forum online, atau cara lain, kelompok tersebut mengundang pelamar untuk wawancara online.

Selama wawancara, aktor jahat mengirimkan paket berbasis npm yang dihosting di GitHub kepada pemohon. Paket ini berisi “Beavertail,” sebuah infostealer dan pemuat berbasis JavaScript yang sangat dikaburkan. Ini menargetkan informasi sistem dasar serta rincian kartu kredit dan dompet mata uang kripto yang disimpan di browser korban. Ia juga mengambil dan menjalankan muatan kedua, “InvisibleFerret.”

InvisibleFerret adalah pintu belakang berbasis Python yang mampu melakukan sidik jari, keylogging, pengambilan kredensial, eksfiltrasi data, kendali jarak jauh, dan, jika perlu, mengunduh RMM AnyDesk untuk kontrol lebih lanjut atas komputer yang disusupi.

Per tren terkini di antara APT yang mampu, Beavertail dan InvisibleFerret berfungsi di seluruh sistem operasi: Windows, Linux, dan macOS.

Menariknya, mencuri uang dan memata-matai target sebenarnya bukan tujuan utama dari kedua malware tersebut. “Dengan membuat mereka memasang malware, [para penyerang] kemudian mempunyai pijakan di sistem itu. Sekarang, jika orang tersebut pergi dan bekerja di tempat lain di masa depan – mereka mungkin akan mendapatkan pekerjaan nyata di tempat lain – maka secara tiba-tiba hal tersebut dapat menyebabkan infeksi pada rantai pasokan perusahaan tersebut,” saran Sikorski.

Menipu Majikan

Warga Korea Utara juga sudah melakukannya selama bertahun-tahun berpose sebagai pelamar yang mencari pekerjaan jarak jauh di bidang teknologi. Melalui labirin resume palsu, email, media sosial, situs web, dan sebagainya, pelamar asli yang menggunakan persona palsu mendapatkan pekerjaan dan kemudian menyalurkan pendapatan mereka kembali ke rezim Kim.

Saat menyelidiki infrastruktur GitHub di balik Contagious Interview, para peneliti menemukan bukti skema berikut: akun terperinci dan sudah lama ada di GitHub, LinkedIn, pasar pekerja lepas, skrip untuk wawancara telepon, kartu penduduk tetap AS yang dicuri, dan banyak lagi.

Tidak jelas berapa banyak pekerja TI yang telah menjalin hubungan nyata dan jangka panjang dengan perusahaan. Tapi baru bulan lalu Departemen Kehakiman AS mencatat bahwa “skema ini sangat lazim sehingga perusahaan harus waspada untuk memverifikasi siapa yang mereka pekerjakan.”

Perusahaan yang mempekerjakan karyawan dengan identitas palsu tidak hanya menghadapi risiko rasa malu, Sikorski memperingatkan. “Bayangkan saja besarnya risiko jika ada aktor yang disponsori negara di lingkungan Anda,” katanya. “Dan ingat: mereka adalah pengembang perangkat lunak, yang berarti mereka memiliki akses ke kode sumber.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/threat-intelligence/dprk-hackers-masquerading-tech-recruiters–job-seekers