La campagna di hacking del gruppo Lazarus, associata alla Corea del Nord, ha recentemente preso di mira i settori delle criptovalute e dei viaggi tramite falsi annunci di lavoro su LinkedIn. Questo attacco mira a distribuire un malware capace di infettare sistemi operativi Windows, macOS e Linux. Secondo l'azienda di sicurezza informatica Bitdefender, la truffa inizia con un messaggio su un social network professionale che promette lavoro remoto, flessibilità part-time e buona retribuzione.

Quando la vittima mostra interesse, il truffatore richiede un curriculum o persino un link al repository GitHub personale, apparentemente innocui ma in realtà utilizzati per raccogliere dati personali o conferire legittimità all'interazione. Una volta ottenute queste informazioni, il truffatore condivide un link a un repository GitHub o Bitbucket contenente un presunto progetto DEX (Decentralized Exchange). Tuttavia, il codice include uno script offuscato progettato per scaricare un payload successivo da un sito web, un ladro di informazioni JavaScript capace di raccogliere dati da estensioni di portafoglio di criptovalute installate nel browser della vittima.

Il malware non si limita al furto di dati, ma funziona anche come loader per scaricare un backdoor basato su Python. Questo backdoor monitora le modifiche ai contenuti degli appunti, mantiene l'accesso remoto persistente e installa altri malware. Le tattiche segnalate da Bitdefender mostrano sovrapposizioni con un noto cluster di attività di attacco chiamato **Contagious Interview**, progettato per distribuire un ladro JavaScript noto come **BeaverTail** e un impianto Python chiamato **InvisibleFerret**.

Il malware distribuito tramite l'infezione Python è un file binario .NET che può scaricare e avviare un server proxy TOR per comunicare con un server di comando e controllo (C2), esfiltrare informazioni di sistema di base e consegnare un altro payload capace di sottrarre dati sensibili, registrare i tasti digitati e avviare un miner di criptovaluta. Bitdefender sottolinea che la catena di infezione degli attori delle minacce è complessa e include software malevolo scritto in più linguaggi di programmazione e l'uso di varie tecnologie.

Questi attacchi sono diffusi, come dimostrano i rapporti condivisi su LinkedIn e Reddit, con lievi variazioni nella catena di attacco complessiva. In alcuni casi, i candidati vengono istruiti a clonare un repository Web3 e a eseguirlo localmente come parte del processo di intervista. Uno dei repository Bitbucket coinvolti fa riferimento a un progetto chiamato "miketoken_v2", ora non più accessibile. Bitdefender ha segnalato che questa attività fa parte della stessa campagna con nomi di repository e profili di reclutatori mescolati.