1,4 milyar dolarlık Bybit saldırısıyla bağlantılı olduğu belirtilen Kuzey Koreli hacker’ların, kötü amaçlı yazılımlarla enfekte edilmiş sahte işe alım testleri kullanarak kripto geliştiricilerini hedef aldığı bildiriliyor.

Siber güvenlik platformu The Hacker News’ün haberine göre, kripto geliştiricileri, kendilerini işe alım uzmanı gibi tanıtan kötü niyetli kişilerden kodlama ödevleri aldı. Bu kodlama görevlerinin, habersiz geliştiricilere kötü amaçlı yazılım bulaştırmak için kullanıldığı belirtiliyor.

Kötü niyetli kişiler, LinkedIn üzerinden kripto geliştiricilerine ulaşıp onları sahte iş fırsatlarıyla kandırıyor. Geliştiriciyi ikna ettiklerinde, GitHub üzerinde yer alan ve bir kodlama görevinin detaylarını içerdiği söylenen kötü amaçlı bir dosya gönderiyorlar. Bu dosya açıldığında, kurbanın sistemini tehlikeye atabilecek hırsız yazılım (stealer malware) yükleniyor.

Dolandırıcılığı yürüten grubun, Slow Pisces olarak bilinen ve Jade Sleet, Pukchong, TraderTraitor ve UNC4899 gibi isimlerle de anılan bir Kuzey Koreli hacker grubu olduğu bildiriliyor.

Siber güvenlik uzmanlarından sahte iş teklifleri uyarısı

Güvenlik firması Cyvers’ın güvenlik operasyonları merkezi kıdemli yöneticisi Hakan Unal, Cointelegraph’a yaptığı açıklamada, hacker’ların genellikle geliştirici kimlik bilgileri ve erişim kodlarını çalmak istediklerini söyledi. Bu aktörlerin çoğunlukla bulut yapılandırmaları, SSH anahtarları, iCloud Keychain, sistem ve uygulama verileri ile cüzdan erişimlerini hedeflediğini belirtti.

Güvenlik firması Hacken’de hizmet proje yöneticisi olan Luis Lubeck ise Cointelegraph’a yaptığı açıklamada, saldırganların ayrıca API anahtarlarına ya da üretim altyapısına erişmeye çalıştıklarını söyledi.

Lubeck, bu kötü niyetli kişilerin en çok kullandığı platformun LinkedIn olduğunu belirtti. Ancak Hacken ekibi, bu kişilerin Upwork ve Fiverr gibi serbest çalışan pazar yerlerini de kullandığını gözlemledi.

Lubeck, “Saldırganlar, özellikle DeFi veya güvenlik alanlarında çalışan geliştiricilere inandırıcı gelen yüksek ücretli sözleşmeler ya da testler sunan müşteri veya işe alım yöneticileri gibi davranıyor,” diye ekledi.

Chainalysis şirketinde baş çözüm mimarı olan Hayato Shigekawa, Cointelegraph’a yaptığı açıklamada, siber korsanların profesyonel ağ platformlarında oldukça inandırıcı görünen çalışan profilleri oluşturduğunu ve bu profillere uygun sahte özgeçmişler eklediklerini belirtti.

Tüm bu çabanın, hedef alınan geliştiricinin çalıştığı Web3 şirketine erişim sağlamak amacıyla yapıldığını söyledi. Shigekawa, “Şirkete erişim sağladıktan sonra, hacker’lar sistemdeki açıkları tespit ediyor ve bu nihayetinde saldırılara yol açabiliyor,” dedi.

Beklenmedik geliştirici işleri konusunda dikkatli olun

Hacken’in zincir üstü güvenlik araştırmacısı Yehor Rudytsia, saldırganların fonları aklamak için kötü işlemcileri taklit ettiklerini ve güvenlik açıklarını istismar etmek amacıyla psikolojik ve teknik saldırı vektörlerini kullandıklarını belirtti.

Rudytsia Cointelegraph’a, “Bu durum, geliştirici eğitimi ve operasyonel hijyenin en az kod denetimleri ya da akıllı sözleşme korumaları kadar önemli olduğunu gösteriyor,” dedi.

Unal, geliştiricilerin bu tür saldırılara karşı kendilerini korumak için uygulayabilecekleri en iyi yöntemler arasında sanal makineler ve sandbox ortamları kullanmak, iş tekliflerini bağımsız şekilde doğrulamak ve tanımadıkları kişilerden gelen kodları çalıştırmamak olduğunu söyledi.

Güvenlik uzmanı ayrıca, kripto geliştiricilerinin doğrulanmamış paketleri yüklemekten kaçınmaları ve iyi bir uç nokta koruması kullanmaları gerektiğini vurguladı.

Öte yandan Lubeck, işe alımcı kimliklerini doğrulamak için resmi kanallarla iletişime geçilmesini tavsiye etti. Ayrıca, gizli bilgilerin düz metin halinde saklanmasından kaçınılmasını önerdi.

“Özellikle size doğrudan gelen ve ‘gerçek olamayacak kadar iyi’ görünen iş tekliflerine karşı ekstra dikkatli olun,” diye uyardı Lubeck.