Tuyển dụng giả mạo và phỏng vấn trở thành vũ khí mới, hacker Triều Tiên nhắm vào ngành công nghiệp mã hóa với hơn 3100+ IP

Triều Tiên hacker tổ chức PurpleBravo lại tiếp tục hoạt động. Sau khi trộm hơn 20 tỷ USD từ thị trường tiền điện tử vào năm 2025, tổ chức này đã phát động một chiến dịch tuyển dụng giả mạo quy mô lớn vào ngày 22 tháng 1 năm nay, tiến hành tấn công mạng vào hơn 3100 địa chỉ internet liên quan đến các công ty trí tuệ nhân tạo, tiền điện tử và dịch vụ tài chính. Lần này, phương thức xâm nhập của họ còn tinh vi hơn: giả danh tuyển dụng viên hoặc nhà phát triển, qua các cuộc phỏng vấn kỹ thuật giả mạo để dụ dỗ người tìm việc thực thi mã độc trên thiết bị của doanh nghiệp.

Tuyển dụng giả mạo trở thành cửa ngõ mới của xã hội kỹ thuật

Sáng tạo trong phương pháp tấn công

Quy trình tấn công mới của PurpleBravo có vẻ đơn giản nhưng hiệu quả cao. Hacker đầu tiên giả danh nhân viên tuyển dụng từ các công ty mã hóa hoặc công nghệ, liên hệ với người tìm việc. Sau đó, với lý do phỏng vấn kỹ thuật, yêu cầu mục tiêu hoàn thành một loạt nhiệm vụ hợp lý: xem xét mã nguồn, sao chép kho mã hoặc hoàn thành bài tập lập trình. Trong quá trình thực hiện, người tìm việc thực chất đang chạy mã độc do hacker chuẩn bị sẵn.

Điểm tinh tế của phương pháp này là khai thác tâm lý của người tìm việc. Các nhiệm vụ phỏng vấn trông hoàn toàn hợp lý, và người ứng tuyển thường vội vàng thể hiện năng lực của mình, giảm cảnh giác. Đối với doanh nghiệp, các nhân viên bị tấn công thường là những người có kỹ năng kỹ thuật nhất định, thường sở hữu quyền hệ thống cao hơn.

Giả dạng và hạ tầng

Theo phân tích của tổ chức nghiên cứu an ninh Recorded Future, PurpleBravo đã sử dụng nhiều danh tính giả, trong đó có danh tính giả của Ukraine. Họ triển khai hai loại phần mềm điều khiển từ xa (RAT) chính:

• PylangGhost: có khả năng tự động trộm chứng chỉ trình duyệt và Cookies
• GolangGhost: cũng có khả năng trộm chứng chỉ

Ngoài ra, hacker còn phát triển phiên bản độc hại của Microsoft Visual Studio Code, cấy backdoor qua kho lưu trữ Git độc hại. Hạ tầng của họ khá hoàn chỉnh, sử dụng Astrill VPN và 17 nhà cung cấp dịch vụ để lưu trữ máy chủ phần mềm độc hại.

Mối đe dọa đặc biệt đối với ngành công nghiệp tiền điện tử

Tại sao ngành công nghiệp tiền điện tử trở thành mục tiêu chính

Trong hơn 3100 mục tiêu của cuộc tấn công này, các công ty tiền điện tử chiếm tỷ lệ đáng kể. Điều này không phải là ngẫu nhiên. Nhân viên trong ngành tiền điện tử thường nắm giữ các tài sản giá trị cao như khóa riêng, quyền truy cập ví, và một khi bị xâm nhập, hacker có thể chuyển tiền trực tiếp. Đồng thời, khả năng phòng thủ của các công ty tiền điện tử thường không phát triển bằng các tổ chức tài chính truyền thống.

Trong số 20 tổ chức bị ảnh hưởng đã xác nhận, chúng phân bố ở Nam Á, Bắc Mỹ, châu Âu, Trung Đông và Trung Mỹ. Điều này cho thấy PurpleBravo có mục tiêu rõ ràng trên phạm vi toàn cầu.

Các tín hiệu đe dọa bổ sung

Các nhà nghiên cứu an ninh còn phát hiện các kênh Telegram liên quan đang bán các tài khoản LinkedIn và Upwork, và kẻ tấn công đã từng tương tác với nền tảng giao dịch tiền mã hóa MEXC Exchange. Điều này cho thấy hacker có thể đang xây dựng một chuỗi cung ứng hoàn chỉnh: lấy thông tin danh tính thật, tạo hồ sơ tuyển dụng giả, thực hiện tấn công, và chuyển đổi tài sản bị trộm.

Cách doanh nghiệp ứng phó

Các điểm then chốt trong phòng thủ

Đối với các công ty tiền điện tử và doanh nghiệp công nghệ, phòng thủ trước các cuộc tấn công này cần nhiều lớp phòng vệ:

• Xác minh quy trình tuyển dụng: xác nhận thư mời phỏng vấn qua kênh chính thức, sử dụng email công ty thay vì email bên thứ ba
• Đào tạo nhân viên: giúp nhân viên kỹ thuật hiểu các phương thức xã hội kỹ thuật mới, kể cả các nhiệm vụ phỏng vấn hợp lý cũng cần cảnh giác
• Kiểm tra mã nguồn: kiểm tra nghiêm ngặt mọi mã từ bên ngoài, không thực thi trực tiếp trong môi trường sản xuất
• Kiểm soát truy cập: hạn chế quyền trên thiết bị của nhân viên, sử dụng máy ảo cách ly để xử lý các nhiệm vụ không tin cậy
• Giám sát cảnh báo: triển khai các công cụ phát hiện và phản hồi điểm cuối (EDR), theo dõi truy cập chứng chỉ và kết nối mạng bất thường

Tóm tắt

Các cuộc phỏng vấn tuyển dụng giả mạo thể hiện một hướng mới trong phương pháp xã hội kỹ thuật của hacker. So với các email lừa đảo truyền thống, phương pháp này nhắm mục tiêu rõ ràng hơn, khai thác tâm lý người tìm việc và các lỗ hổng trong quy trình tuyển dụng của doanh nghiệp. Đối với ngành công nghiệp tiền điện tử, hoạt động liên tục của PurpleBravo cho thấy hacker Triều Tiên vẫn coi ngành này là mục tiêu chính. Các doanh nghiệp cần nhận thức rằng nhân viên có kỹ năng cao thường là điểm dễ bị lợi dụng nhất, và việc xây dựng quy trình xác minh tuyển dụng toàn diện cùng nâng cao ý thức an toàn cho nhân viên là chìa khóa phòng thủ. Đồng thời, chia sẻ thông tin và hợp tác phòng thủ trong ngành ngày càng trở nên quan trọng.