O grupo de hackers norte-coreano Lazarus está usando o LinkedIn para mirar usuários vulneráveis e roubar seus ativos por meio de ataques de malware direcionados.
O incidente veio à tona depois que a empresa de análise de segurança blockchain SlowMist revelou que hackers do grupo Lazarus estão fingindo buscar empregos como desenvolvedores de blockchain na indústria de criptomoedas por meio do LinkedIn.
SlowMist afirmou que os hackers roubam credenciais confidenciais dos funcionários após convidar o acesso ao seu repositório para executar código relevante. Os trechos de código que o hacker executa contêm código malicioso que rouba informações confidenciais e ativos.
O uso do LinkedIn para ataques direcionados não é um método novo, e o grupo de hackers norte-coreano usou uma tática semelhante em dezembro de 2023, se passando por um recrutador falso da Meta.
Após entrar em contato com as vítimas por meio do LinkedIn, o recrutador falso solicitava que os “candidatos” direcionados baixassem dois desafios de codificação como parte do procedimento de contratação. Esses dois arquivos de codificação continham malware e, quando executados em um computador de trabalho, liberavam um Trojan que permitia acesso remoto.
O Lazarus roubou mais de US$ 3 bilhões em ativos de criptomoedas. Está entre os grupos de hackers mais notórios e organizados que surgiram pela primeira vez em 2009 e continuam a mirar empresas de criptomoedas apesar de numerosas sanções contra ele.
O Lazarus é conhecido por usar formas inovadoras de mirar e roubar fundos. Em agosto de 2023, o grupo usou entrevistas de emprego falsas para roubar US$ 37 milhões da empresa de pagamentos de criptomoedas CoinPaid. Os hackers tentaram infiltrar a infraestrutura da CoinsPaid mirando indivíduos por meio de ofertas de emprego falsas com altos salários.
O grupo esteve por trás de alguns dos maiores roubos na indústria de criptomoedas. O hack do Ponte Ronin de 2022 é o maior, com US$ 625 milhões roubados.
O grupo de hackers frequentemente usa serviços de mistura de criptomoedas para lavar seus fundos roubados de volta para a Coreia do Norte, que, de acordo com muitos relatos, são usados para financiar as operações militares do país.
Embora empresas de criptomoedas sejam frequentemente alvo de grupos de hackers, a natureza descentralizada do blockchain torna difícil para eles moverem seus fundos. Uma vez identificados, eles frequentemente são rastreados e bloqueados com a ajuda de plataformas de criptomoedas.
Em fevereiro de 2023, Huobi e Binance congelaram US$ 1.4 milhão em ativos de criptomoedas ligados à Coreia do Norte. Da mesma forma, US$ 63 milhões em ativos ligados ao hack da Ponte Harmony também foram congelados por exchanges de criptomoedas.