Gli hacker nordcoreani stanno utilizzando aziende fantasma nel settore delle criptovalute per diffondere malware attraverso l'esca di interviste di lavoro. Secondo un'analisi dettagliata di Silent Push, tre aziende di copertura, BlockNovas LLC, Angeloper Agency e SoftGlide LLC, sono state create per distribuire malware tramite false offerte di lavoro. Queste aziende sono state utilizzate per diffondere famiglie di malware note come BeaverTail, InvisibleFerret e OtterCookie.

**Campagne di Ingegneria Sociale**

Le campagne sociali di ingegneria a tema lavoro, orchestrate dalla Corea del Nord, mirano a ingannare i professionisti IT a scaricare malware cross-platform sotto la copertura di compiti di codifica o correzioni di bug durante le valutazioni video. La comunità di sicurezza informatica traccia queste attività con nomi come CL-STA-0240, DeceptiveDevelopment, e Famous Chollima. L'uso di aziende fantasma, insieme alla creazione di account fraudolenti su piattaforme come Facebook e LinkedIn, rappresenta un'escalation delle tecniche degli attori malevoli.

**Esempi di Attività Malevole**

BlockNovas, ad esempio, afferma di avere 14 dipendenti, ma molte delle persone coinvolte sembrano essere false. Il sito affermava di operare da più di 12 anni, mentre l'azienda è registrata solo da un anno. Gli attacchi portano al dispiegamento di un malware JavaScript chiamato BeaverTail, che distribuisce un backdoor Python noto come InvisibleFerret, capace di persistere su sistemi Windows, Linux e macOS.

Inoltre, su uno dei sottodomini di BlockNovas è stato trovato un sistema di gestione di password cracking open-source, Hashtopolis, suggerendo ulteriori attività malevole. Infatti, è stato riportato che un programmatore ha subito la compromissione del suo portafoglio MetaMask tramite false offerte di lavoro. Gli attori malevoli sembrano anche ospitare un tool chiamato Kryptoneer, che permette di connettersi a vari portafogli di criptovalute.

**Azioni Legali e Tecniche dei Hacker**

Il dominio di BlockNovas è stato sequestrato dall'FBI come parte di un'azione legale contro questi attori per l'uso di annunci di lavoro falsi per distribuire malware. Oltre a utilizzare VPN e proxy residenziali per offuscare le loro attività, questi hacker sfruttano strumenti di intelligenza artificiale per creare immagini di profilo, aumentando così il realismo delle loro false identità. Gli indirizzi IP russi utilizzati nell'operazione sono stati trovati appartenenti a due aziende vicine al confine tra Corea del Nord e Russia, suggerendo possibili cooperazioni tra i due paesi.

Queste operazioni sono parte di uno sforzo più ampio, noto come Wagemole, in cui false identità vengono create per far assumere lavoratori IT nordcoreani da importanti aziende, con l'obiettivo di rubare dati sensibili e inviare una parte degli stipendi mensili alla Corea del Nord.