Bedrohungsakteure mit Verbindungen zu Nordkorea nutzen LinkedIn, um Entwickler im Rahmen von gefälschten Stellenangeboten ins Visier zu nehmen. Diese Angriffe verwenden Programmiertests als häufigen anfänglichen Infektionsvektor, so Mandiant, ein Unternehmen von Google, in einem neuen Bericht über Bedrohungen für den Web3-Sektor. „Nach einer ersten Chat-Konversation schickte der Angreifer eine ZIP-Datei, die COVERTCATCH-Malware enthielt, die als Python-Programmieraufgabe getarnt war“, so die Forscher Robert Wallace, Blas Kojusner und Joseph Dobson. Die Malware fungiert als Ausgangspunkt, um das macOS-System des Opfers zu kompromittieren, indem sie eine Nutzlast der zweiten Stufe herunterlädt, die Persistenz über Launch Agents und Launch Daemons herstellt. Es ist erwähnenswert, dass dies nur eine von vielen Aktivitätsgruppen ist – nämlich Operation Dream Job, Contagious Interview und andere -, die von nordkoreanischen Hackergruppen durchgeführt werden, die sich berufsbezogene Täuschungsmanöver zunutze machen, um ihre Ziele mit Malware zu infizieren. Auch Köder mit Rekrutierungsthemen waren eine gängige Taktik, um Malware-Familien wie RustBucket und KANDYKORN zu verbreiten. Mandiant beobachtete eine Social-Engineering-Kampagne, bei der eine bösartige PDF-Datei verbreitet wurde, die als Stellenbeschreibung für einen „VP of Finance and Operations“ bei einer bekannten Kryptowährungsbörse getarnt war. „Die bösartige PDF-Datei lud eine Malware der zweiten Stufe namens RustBucket herunter, eine in Rust geschriebene Hintertür, die die Ausführung von Dateien unterstützt.“ Das RustBucket-Implantat ist in der Lage, grundlegende Systeminformationen zu sammeln, mit einer über die Befehlszeile bereitgestellten URL zu kommunizieren und Persistenz mithilfe eines Launch Agents einzurichten, der sich als „Safari Update“ tarnt, um mit einer fest einprogrammierten Command-and-Control (C2)-Domain zu kommunizieren. Die Angriffe Nordkoreas auf Web3-Organisationen beschränken sich nicht nur auf Social Engineering, sondern umfassen auch Angriffe auf die Software-Lieferkette, wie die Vorfälle der letzten Jahre gegen 3CX und JumpCloud zeigen. „Sobald über Malware ein erster Zugriff erlangt wurde, greifen die Angreifer auf Passwortmanager zu, um Zugangsdaten zu stehlen, führen interne Aufklärungsarbeit über Code-Repositorys und Dokumentation durch und verschaffen sich Zugriff auf die Cloud-Hosting-Umgebung, um Hot-Wallet-Schlüssel aufzudecken und schließlich Gelder abzuzweigen“, so Mandiant. Die Enthüllungen erfolgen zeitgleich mit einer Warnung des US-amerikanischen Federal Bureau of Investigation (FBI) vor nordkoreanischen Bedrohungsakteuren, die die Kryptowährungsindustrie mit „maßgeschneiderten, schwer zu erkennenden Social-Engineering-Kampagnen“ ins Visier nehmen. Diese laufenden Bemühungen, bei denen Personalvermittlungsunternehmen oder Einzelpersonen, die ein Opfer persönlich oder indirekt kennt, mit Stellen- oder Investitionsangeboten imitiert werden, werden als ein Kanal für dreiste Krypto-Diebstähle angesehen, die darauf abzielen, illegale Einnahmen für das abgeschottete Königreich zu generieren, das mit internationalen Sanktionen belegt ist.