Dokkaebi-Hacker nutzen gefälschte Jobinterviews, um Malware über Code-Repositories zu verbreiten

Eine mit Nordkorea in Verbindung stehende Hackergruppe namens Void Dokkaebi, die auch als Famous Chollima verfolgt wird, führt eine Kampagne durch, bei der sie Softwareentwickler durch gefälschte Vorstellungsgespräche da Eine mit Nordkorea in Verbindung stehende Hackergruppe namens Void Dokkaebi, die auch als Famous Chollima verfolgt wird, führt eine Kampagne durch, bei der sie Softwareentwickler durch gefälschte Vorstellungsgespräche dazu verleitet, Malware zu installieren.

Die Gruppe lockt Entwickler dazu, als Teil eines erfundenen Coding-Tests infizierte Code-Repositories zu klonen, und verwandelt dann deren Maschinen und Projekte in Malware-verbreitende Werkzeuge. Der Angriff beginnt mit einem überzeugenden Setup.

Bedrohungsakteure geben sich als Recruiter ährungs- und künstliche Intelligenz-Firmen aus und kontaktieren Entwickler auf professionellen Plattformen. Während eines gefälschten Interviews wird der Zielentwickler gebeten, ein Repository auf GitHub, GitLab oder Bitbucket zu klonen und es als „technische Bewertung“ auszuführen.

Diese Repositories sehen wie legitime Projekte aus, enthalten aber versteckten bösartigen Code, der sofort ausgeführt wird, sobald der Entwickler den Ordner öffnet. Was diese Kampagne gefährlich macht, ist, was nach dieser ersten Infektion geschieht.

Trend Micro Analysten stellten fest, dass Void Dokkaebi nicht bei einem einzelnen kompromittierten Entwickler bleibt.