Gli attori di minacce affiliati alla Corea del Nord hanno trovato un nuovo modo per colpire i sviluppatori tramite LinkedIn, utilizzando falsi annunci di lavoro come esca. Secondo un recente rapporto di Mandiant, società di proprietà di Google, questi attacchi iniziano spesso con test di codifica, che fungono da vettore di infezione iniziale. Dopo una conversazione iniziale, l'attaccante invia un file ZIP contenente il malware COVERTCATCH mascherato da sfida di codifica in Python. Questo malware serve da trampolino di lancio per compromettere il sistema macOS della vittima, scaricando un payload di seconda fase che stabilisce la persistenza attraverso Launch Agents e Launch Daemons.

**Questo schema è solo uno dei molti cluster di attività, come l'Operazione Dream Job e Contagious Interview, utilizzati dai gruppi di hacker nordcoreani per infettare le vittime con malware tramite esche legate al reclutamento.** Le esche a tema reclutamento sono state una tattica prevalente anche per distribuire famiglie di malware come RustBucket e KANDYKORN. Secondo Mandiant, una recente campagna di ingegneria sociale ha utilizzato un PDF malevolo, travestito da descrizione lavoro per un "VP di Finanza e Operazioni" presso una nota piattaforma di criptovalute, per distribuire un malware di seconda fase noto come RustBucket. Questo backdoor, scritto in Rust, è in grado di raccogliere informazioni di sistema, comunicare con un URL fornito tramite la riga di comando e stabilire la persistenza utilizzando un Launch Agent che si traveste da "Safari Update" per contattare un dominio di comando e controllo (C2) predefinito.

**Gli attacchi nordcoreani al settore Web3 non si limitano solo all'ingegneria sociale, ma comprendono anche attacchi alla catena di approvvigionamento del software, come quelli osservati contro 3CX e JumpCloud negli ultimi anni.** Una volta stabilito un punto d'appoggio tramite malware, gli attaccanti passano ai gestori di password per rubare credenziali, eseguire ricognizioni interne tramite repository di codice e documentazione, e accedere all'ambiente di hosting cloud per rivelare chiavi di portafogli hot e infine drenare fondi.

**Il Federal Bureau of Investigation (FBI) degli Stati Uniti ha recentemente emesso un avviso riguardo agli attori di minacce nordcoreani che prendono di mira l'industria delle criptovalute con campagne di ingegneria sociale altamente personalizzate e difficili da rilevare.** Questi sforzi, che impersonano società di reclutamento o individui che la vittima potrebbe conoscere direttamente o indirettamente con offerte di lavoro o investimenti, sono visti come un mezzo per audaci furti di criptovalute progettati per generare redditi illeciti per il regime nordcoreano, soggetto a sanzioni internazionali.

**Tra le tattiche impiegate, spiccano l'identificazione di aziende di criptovalute di interesse, la conduzione di ricerche preoperative approfondite sui loro obiettivi prima di iniziare il contatto, e la creazione di scenari falsi personalizzati nel tentativo di attrarre le vittime e aumentare le probabilità di successo degli attacchi.** L'FBI ha sottolineato che gli attori potrebbero fare riferimento a informazioni personali, interessi, affiliazioni, eventi, relazioni personali, connessioni professionali o dettagli che la vittima potrebbe credere siano conosciuti solo da pochi altri, nel tentativo di costruire un rapporto e infine consegnare il malware.