Исследователи сообщили, что две фирмы — BlockNovas LLC и SoftGlide LLC — были зарегистрированы хакерами в американских штатах Нью-Мексико и Нью-Йорк. Третья связанная с ними организация, Angeloper Agency, не была зарегистрирована в США. За фиктивными компаниями стояло подразделение Lazarus — Contagious Interview. Фирмы нужны были хакерам для «прикрытия» вредоносного ПО, которое они распространяли при проведении собеседований с соискателями работы в криптоиндустрии.
Чтобы создать видимость легальной компании, злоумышленники использовали искусственный интеллект (ИИ) для создания фейковых профилей несуществующих сотрудников в деловой соцсети LinkedIn, а также публиковали объявления о вакансиях. В процессе собеседований, соискателей обманом убеждали установить программу, так называемый инструмент для подачи заявления на работу. Однако после его «распаковки», хакерам удавалось завладеть личными учетными данными пользователей и получить доступ к их криптоадресам.
Федеральное бюро расследований (ФБР) уже ликвидировало домен Blocknovas. Он удален в рамках действий правоохранителей против северокорейских киберпреступников, использовавших этот домен для обмана людей.
«Это редкий пример того, как северокорейским хакерам удалось создать юридические лица в США для корпоративных прикрытий. Атаки совершались на соискателей, которые даже не подозревали об обмане», — заявил директор по изучению киберугроз в Silent Push Кейси Бест (Kasey Best).
Одной из самых громких атак, совершенных хакерами Lazarus, стал взлом криптовалютной биржи Bybit, потерявшей 400 000 ETH ($1,4 млрд). В 2021 году хакеры атаковали Ronin Network, сайдчейн игры Axie Infinity, разработанный компанией Sky Mavis. Данные сотрудника Sky Mavis, откликнувшегося на поддельное предложение о работе, тоже были скомпрометированы. Это позволило хакерам Lazarus украсть из Ronin Network эфиры и стейблкоины USDC на сумму $625 млн.