Nesenais atklājums atklāj, ka Ziemeļkorejas krāpnieku grupa ir vērsta pret izstrādātājiem, izmantojot sarežģītu viltus darba shēmu, kas slēpj ļaunprātīgu programmatūru kodēšanas uzdevumos. Eksperti ir atklājuši vairāk nekā 200 ļaunprātīgas programmatūras pakotnes, kas saistītas ar operāciju, kas pazīstama kā Graphalgo. Interesanti ir tas, ka uzbrucēji ir īpaši vērsti uz JavaScript un Python tehnoloģiju profesionāļiem, īpaši tiem, kuriem ir pieredze kriptovalūtu jomā.
Ziemeļkorejas krāpnieku grupa Graphalgo izmanto viltus darba shēmas, lai piegādātu ļaunprātīgu programmatūru
ReversingLabs ziņo, ka operācija ir bijusi aktīva kopš 2025. gada maija. Tiek ziņots, ka uzbrucēji uzdodas par blokķēdes un kriptovalūtu tirdzniecības uzņēmumiem un publicē viltus darba sludinājumus platformās, tostarp LinkedIn, Facebook un Reddit. Lai pieteiktos tā sauktajam darbam, pretendentiem tiek lūgts izpildīt tehnisko uzdevumu, kas parasti ietver atkļūdošanu vai projekta parauga uzlabošanu.
Piešķīrums izskatās likumīgs, taču tajā ir slēpta ļaunprātīga atkarība, kas tiek mitināta uzticamos krātuvēs, piemēram, npm un PyPI. Kad lietotājs palaiž kodu, atkarība sistēmā instalē attālās piekļuves Trojas zirgu. Ziņojumā teikts, ka ar Graphalgo ir saistītas pat 192 kaitīgas pakotnes. Vienā gadījumā bigmathutils pakotne bija tīra līdz versijai 1.1.0, kurā tika pievienota ļaunprātīga slodze, un pakotne pēc tam tika izdzēsta, lai izvairītos no atklāšanas.
Uzbrucēji iegūst tiešu kontroli pār sistēmu, kamēr lietotājs to nezina
Instalētā ļaunprogrammatūra nodrošina uzbrucējiem pilnīgu kontroli pār inficētajām mašīnām. Attālās piekļuves Trojas zirgs var uzskaitīt darbojošos procesus, izpildīt patvaļīgas komandas, izfiltrēt failus un izvietot papildu kravas. Tas arī pārbauda, vai nav MetaMask kriptovalūtas pārlūkprogrammas paplašinājuma, norādot finanšu motīvus. Ļaunprātīga programmatūra saziņai ar serveri izmanto ar marķieri aizsargātu metodi. Tas ierobežo tās ārējo uzraudzību.
Eksperti arī atklājuši, ka Graphalgo operācija, visticamāk, ir saistīta ar bēdīgi slaveno Lazarous grupējumu. Viņi ir pazīstami ar savām ar darbu saistītajām krāpniecībām. Jebkurā gadījumā lietotājiem vēlreiz tiek ieteikts vienmēr pārbaudīt pakotnes pirms to instalēšanas savās ierīcēs.
