IT-специалисты из Корейской Народно-Демократической Республики (КНДР) вышли на новый уровень мошенничества, начав выдавать себя за реальных людей на платформе LinkedIn для получения удаленной работы в западных компаниях. Основной целью этой деятельности является получение доходов для финансирования программ КНДР по созданию оружия и ядерных разработок, что компания Silent Push охарактеризовала как «двигатель доходов с большими оборотами». Помимо финансовой выгоды, злоумышленники преследуют задачи шпионажа, кражи конфиденциальных данных, получения административного доступа к важным кодовым базам и внедрения в корпоративную инфраструктуру по принципу «living-off-the-land» для обеспечения постоянного присутствия. В некоторых случаях угроза включает требование выкупа для предотвращения утечки украденных данных.
Согласно данным Security Alliance (SEAL), оперативники используют существующие учетные записи LinkedIn реальных лиц, которых они имитируют. Для повышения убедительности профили оснащаются верифицированными рабочими электронными адресами и значками идентификации. В качестве контрмер эксперты советуют потенциальным жертвам публиковать предупреждения в социальных сетях с указанием официальных каналов связи, а компаниям — проверять кандидатов, требуя связаться через конкретный предоставленный профиль LinkedIn.
Финансовая сторона операций тщательно скрывается с помощью сложных схем отмывания денег. По отчету аналитической блокчейн-компании Chainalysis от октября 2025 года, после получения зарплаты средства переводятся в криптовалюту. Для запутывания следов, скрытия источника и конечного пункта назначения средств применяются методы «chain-hopping» (перемещение между блокчейнами), обмен токенами, а также использование смарт-контрактов через децентрализованные биржи и протоколы мостов.
География атак расширяется, затрагивая европейские страны. Полицейская служба безопасности Норвегии (PST) на прошлой неделе выпустила официальное предупреждение, ссылаясь на случаи, выявленные за последний год. Несколько норвежских предприятий были введены в заблуждение и наняли предполагаемых северокорейских IT-специалистов на должности, предусматривающие работу из домашнего офиса.
Параллельно с трудоустройством разворачивается кампания социальной инженерии под названием «Contagious Interview» («Заразное интервью»). В этой схеме, описанной исследователем Ори Хершко, а также компаниями Abstract Security и OpenSourceMalware, злоумышленники действуют как рекрутеры или менеджеры по найму. Жертв заманивают на интервью через LinkedIn и инструктируют выполнить оценку навыков, которая активирует вредоносный код. В одном из инцидентов хакеры выдавали себя за представителей компании Fireblocks, занимающейся инфраструктурой цифровых активов. Кандидатов просили клонировать репозиторий GitHub и запустить команды для установки пакета npm.
Техническая реализация этих атак включает передовые методы, такие как EtherHiding — использование смарт-контрактов блокчейна для размещения командно-контрольной (C2) инфраструктуры, что делает полезную нагрузку устойчивой к удалению. Атаки включают новые варианты вредоносных файлов задач Microsoft VS Code и JavaScript-вредопоносы, замаскированные под веб-шрифты. Основные полезные нагрузки, такие как BeaverTail и InvisibleFerret, нацелены на кражу криптовалютных кошельков и учетных данных браузера. Кроме того, компания Panther обнаружила новый модульный троян удаленного доступа (RAT) на JavaScript под названием Koalemos, доставляемый через вредоносные пакеты npm. Он способен выполнять 12 команд, включая операции с файловой системой и произвольное выполнение кода, а также осуществлять «фингерпринтинг» системы.
За всей этой активностью стоит зонтичная группа Lazarus Group, также известная как Diamond Sleet и Hidden Cobra. Согласно анализу CrowdStrike, этот кластер эволюционировал и разделился на специализированные подразделения, сохранив при этом общие инструменты, такие как руткит FudModule. Основная группа, Labyrinth Chollima, фокусируется на кибершпионаже и проводит кампанию Operation Dream Job. Подразделение Golden Chollima (известное как AppleJeus, Citrine Sleet, UNC4736) занимается последовательными кражами криптовалюты малого масштаба, тогда как Pressure Chollima (Jade Sleet, TraderTraitor, UNC4899) специализируется на крупных ограблениях организаций со значительными цифровыми активами.
Другие известные псевдонимы, связанные с угрозой со стороны IT-работников, включают Jasper Sleet, PurpleDelta и Wagemole, выявленные компанией DTEX. В структуру Lazarus также входят субкластеры Andariel и BlueNoroff. Последний разделился на TraderTraitor и CryptoCore (также известный как Sapphire Sleet). Весь спектр операций опирается на использование языков Node.js, Python и JavaScript, а также платформ LinkedIn, GitHub, X (Twitter) и Microsoft VS Code.
Изображение носит иллюстративный характер
Согласно данным Security Alliance (SEAL), оперативники используют существующие учетные записи LinkedIn реальных лиц, которых они имитируют. Для повышения убедительности профили оснащаются верифицированными рабочими электронными адресами и значками идентификации. В качестве контрмер эксперты советуют потенциальным жертвам публиковать предупреждения в социальных сетях с указанием официальных каналов связи, а компаниям — проверять кандидатов, требуя связаться через конкретный предоставленный профиль LinkedIn.
Финансовая сторона операций тщательно скрывается с помощью сложных схем отмывания денег. По отчету аналитической блокчейн-компании Chainalysis от октября 2025 года, после получения зарплаты средства переводятся в криптовалюту. Для запутывания следов, скрытия источника и конечного пункта назначения средств применяются методы «chain-hopping» (перемещение между блокчейнами), обмен токенами, а также использование смарт-контрактов через децентрализованные биржи и протоколы мостов.
География атак расширяется, затрагивая европейские страны. Полицейская служба безопасности Норвегии (PST) на прошлой неделе выпустила официальное предупреждение, ссылаясь на случаи, выявленные за последний год. Несколько норвежских предприятий были введены в заблуждение и наняли предполагаемых северокорейских IT-специалистов на должности, предусматривающие работу из домашнего офиса.
Параллельно с трудоустройством разворачивается кампания социальной инженерии под названием «Contagious Interview» («Заразное интервью»). В этой схеме, описанной исследователем Ори Хершко, а также компаниями Abstract Security и OpenSourceMalware, злоумышленники действуют как рекрутеры или менеджеры по найму. Жертв заманивают на интервью через LinkedIn и инструктируют выполнить оценку навыков, которая активирует вредоносный код. В одном из инцидентов хакеры выдавали себя за представителей компании Fireblocks, занимающейся инфраструктурой цифровых активов. Кандидатов просили клонировать репозиторий GitHub и запустить команды для установки пакета npm.
Техническая реализация этих атак включает передовые методы, такие как EtherHiding — использование смарт-контрактов блокчейна для размещения командно-контрольной (C2) инфраструктуры, что делает полезную нагрузку устойчивой к удалению. Атаки включают новые варианты вредоносных файлов задач Microsoft VS Code и JavaScript-вредопоносы, замаскированные под веб-шрифты. Основные полезные нагрузки, такие как BeaverTail и InvisibleFerret, нацелены на кражу криптовалютных кошельков и учетных данных браузера. Кроме того, компания Panther обнаружила новый модульный троян удаленного доступа (RAT) на JavaScript под названием Koalemos, доставляемый через вредоносные пакеты npm. Он способен выполнять 12 команд, включая операции с файловой системой и произвольное выполнение кода, а также осуществлять «фингерпринтинг» системы.
За всей этой активностью стоит зонтичная группа Lazarus Group, также известная как Diamond Sleet и Hidden Cobra. Согласно анализу CrowdStrike, этот кластер эволюционировал и разделился на специализированные подразделения, сохранив при этом общие инструменты, такие как руткит FudModule. Основная группа, Labyrinth Chollima, фокусируется на кибершпионаже и проводит кампанию Operation Dream Job. Подразделение Golden Chollima (известное как AppleJeus, Citrine Sleet, UNC4736) занимается последовательными кражами криптовалюты малого масштаба, тогда как Pressure Chollima (Jade Sleet, TraderTraitor, UNC4899) специализируется на крупных ограблениях организаций со значительными цифровыми активами.
Другие известные псевдонимы, связанные с угрозой со стороны IT-работников, включают Jasper Sleet, PurpleDelta и Wagemole, выявленные компанией DTEX. В структуру Lazarus также входят субкластеры Andariel и BlueNoroff. Последний разделился на TraderTraitor и CryptoCore (также известный как Sapphire Sleet). Весь спектр операций опирается на использование языков Node.js, Python и JavaScript, а также платформ LinkedIn, GitHub, X (Twitter) и Microsoft VS Code.
