Kuzey Koreli Hackerlar, 1.4 Milyar Dolarlık Bybit Saldırısıyla Bağlantılı Olarak Sahte İş Teklifleriyle Kripto Geliştiricilerini Hedef Alıyor

Kuzey Koreli hackerların, 1.4 milyar dolarlık Bybit açığından sorumlu olduğu iddia ediliyor ve şimdi de kripto geliştiricilerini sahte işe alım testleriyle hedef alıyorlar. Siber güvenlik kuruluşu The Hacker News'e göre, kripto geliştiricileri, işe alım uzmanları gibi davranan kötü niyetli kişilerden kodlama ödevleri aldı. Bu ödevler, şüphelenmeyen geliştiricilere kötü amaçlı yazılım bulaştırmak için kullanılıyor. Hackerlar, LinkedIn üzerinden geliştiricilere ulaşıp sahte kariyer fırsatları sunuyor. Geliştiriciyi ikna ettikten sonra, GitHub'da bir kodlama ödevinin ayrıntılarını içeren kötü amaçlı bir belge gönderiyorlar. Bu dosya açıldığında, kurbanın sistemini tehlikeye atabilen bir stealer (bilgi çalan) kötü amaçlı yazılımı yüklüyor.

Bu dolandırıcılığın, Slow Pisces, Jade Sleet, Pukchong, TraderTraitor ve UNC4899 olarak da bilinen bir Kuzey Koreli hacker grubu tarafından yürütüldüğü bildiriliyor. Siber güvenlik uzmanları, sahte iş tekliflerine karşı uyarıda bulunuyor. Güvenlik firması Cyvers'ın kıdemli güvenlik operasyon merkezi lideri Hakan Ünal, hackerların genellikle geliştirici kimlik bilgilerini ve erişim kodlarını çalmak istediğini belirtti. Bu aktörlerin sıklıkla bulut yapılandırmaları, SSH anahtarları, iCloud Keychain, sistem ve uygulama meta verileri ve cüzdan erişimi aradığını söyledi. Hacken güvenlik firmasında servis proje yöneticisi olan Luis Lubeck, bu hackerların ayrıca API anahtarlarına veya üretim altyapısına erişmeye çalıştığını ifade etti. Lubeck, bu kötü niyetli aktörler tarafından kullanılan ana platformun LinkedIn olduğunu belirtti. Ancak, Hacken ekibi Upwork ve Fiverr gibi serbest çalışma pazarlarını da kullandıklarını gözlemledi.

Chainalysis'te baş çözüm mimarı olan Hayato Shigekawa, hackerların genellikle profesyonel ağ sitelerinde "güvenilir görünen" çalışan profilleri oluşturduğunu ve bunları sahte pozisyonlarını yansıtan özgeçmişlerle eşleştirdiğini söyledi. Tüm bu çabayı, hedefledikleri geliştiriciyi istihdam eden Web3 şirketine erişim sağlamak için harcıyorlar. Şirkete erişim sağladıktan sonra, hackerlar açıkları tespit ediyor ve bu da sonuçta sömürülere yol açabiliyor. Hacken'in zincir üstü güvenlik araştırmacısı Yehor Rudytsia, saldırganların giderek daha yaratıcı hale geldiğini ve fonları temizlemek için kötü niyetli yatırımcıları taklit ettiğini ve güvenlik açıklarından yararlanmak için psikolojik ve teknik saldırı vektörlerini kullandığını belirtti.

Sonuç olarak, geliştiricilerin sanal makineler ve sanal alanlar kullanarak test yapmaları, iş tekliflerini bağımsız olarak doğrulamaları ve tanımadıkları kişilerden gelen kodları çalıştırmamaları gerekiyor. Ayrıca, doğrulanmamış paketleri yüklemekten ve iyi uç nokta koruması kullanmaktan kaçınmaları önemlidir. İşe alım uzmanlarının kimliklerini doğrulamak için resmi kanallara başvurmaları ve sırları düz metin formatında saklamaktan kaçınmaları tavsiye ediliyor. Özellikle, "gerçek olamayacak kadar iyi" işlere karşı ve istenmeyen tekliflere karşı dikkatli olunması gerekiyor.