PurpleBravo Attack Campaign

खतरे की जानकारी जुटाने वाले विश्लेषकों ने कॉन्टेजियस इंटरव्यू अभियान के संभावित लक्ष्यों से जुड़े 3,136 व्यक्तिगत आईपी पतों की पहचान की है। माना जाता है कि इस अभियान में कृत्रिम बुद्धिमत्ता, क्रिप्टोकरेंसी, वित्तीय सेवाएं, आईटी सेवाएं, विपणन और सॉफ्टवेयर विकास क्षेत्रों में कार्यरत 20 संभावित पीड़ित संगठन शामिल हैं। प्रभावित संस्थाएं यूरोप, दक्षिण एशिया, मध्य पूर्व और मध्य अमेरिका तक फैली हुई हैं, जो इस गतिविधि के वैश्विक दायरे को रेखांकित करती हैं।

दक्षिण एशिया और उत्तरी अमेरिका में केंद्रित आईपी पतों को अगस्त 2024 और सितंबर 2025 के बीच लक्षित किया गया माना जा रहा है। प्रभावित कंपनियां कथित तौर पर बेल्जियम, बुल्गारिया, कोस्टा रिका, भारत, इटली, नीदरलैंड, पाकिस्तान, रोमानिया, संयुक्त अरब अमीरात और वियतनाम में स्थित हैं।

पर्पल ब्रावो: उत्तर कोरिया का एक व्यापक खतरा समूह

इस गतिविधि का श्रेय उत्तर कोरिया से जुड़े एक समूह को दिया जाता है जिसे पर्पल ब्रावो के रूप में ट्रैक किया जाता है, जिसका पहली बार दस्तावेजीकरण 2023 के अंत में किया गया था। यह समूह सुरक्षा समुदाय में कई नामों से जाना जाता है, जो व्यापक उद्योग ट्रैकिंग को दर्शाता है:

सीएल-एसटीए-0240, डिसेप्टिवडेवलपमेंट, डेव#पॉपर, फेमस चोलिमा, ग्विसिन गैंग, टेनियस पुंगसन, यूएनसी5342, वॉयड डोक्काबी, और वॉटरप्लम

पर्पल ब्रावो ने दीर्घकालिक बुनियादी ढांचे, सोशल इंजीनियरिंग की कार्यप्रणाली और मैलवेयर विकास में निरंतर निवेश का प्रदर्शन किया है, जो साइबर जासूसी और वित्तीय चोरी के मिश्रित उद्देश्यों के अनुरूप है।

भर्ती प्रक्रिया और डेवलपर इकोसिस्टम का लाभ उठाना

हालिया खुलासे 'कंटेजियस इंटरव्यू' अभियान में हुए एक बड़े बदलाव के बाद सामने आए हैं, जिसमें हमलावर दुर्भावनापूर्ण माइक्रोसॉफ्ट विजुअल स्टूडियो कोड प्रोजेक्ट्स का इस्तेमाल करके बैकडोर वितरित करते हैं। यह रणनीति भरोसेमंद डेवलपर टूल्स और वर्कफ़्लो का दुरुपयोग करती है, जिससे सफल सेंधमारी की संभावना बढ़ जाती है।

शोधकर्ताओं ने लिंक्डइन पर फर्जी प्रोफाइल की पहचान की है जो डेवलपर और भर्तीकर्ता बनकर यूक्रेन के ओडेसा से काम करने का दावा कर रहे हैं। इनके अलावा, बीवरटेल जैसे मैलवेयर फैलाने के लिए डिज़ाइन किए गए दुर्भावनापूर्ण गिटहब रिपॉजिटरी भी मौजूद हैं। कई मामलों में, नौकरी की तलाश कर रहे उम्मीदवारों ने कथित तौर पर कंपनी द्वारा जारी किए गए उपकरणों पर दुर्भावनापूर्ण कोड चलाया, जिससे यह खतरा सिर्फ व्यक्तियों तक ही सीमित नहीं रहा, बल्कि सीधे उद्यमों तक फैल गया।

मैलवेयर शस्त्रागार और कमांड अवसंरचना

PurpleBravo कई मैलवेयर परिवारों को सपोर्ट करने के लिए अलग-अलग कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर संचालित करता है। इनमें जावास्क्रिप्ट-आधारित इंफोस्टीलर और लोडर बीवरटेल और ओपन-सोर्स हैकब्राउजरडेटा प्रोजेक्ट से व्युत्पन्न गो-आधारित बैकडोर गोलंगघोस्ट (जिसे फ्लेक्सिबलफेरेट या वीज़लस्टोर के रूप में भी ट्रैक किया जाता है) शामिल हैं।

समूह के C2 सर्वर 17 होस्टिंग प्रदाताओं में वितरित हैं और इनका प्रबंधन एस्ट्रिल वीपीएन के माध्यम से किया जाता है। प्रबंधन गतिविधि का पता चीन में स्थित आईपी रेंज से लगाया गया है। एस्ट्रिल वीपीएन का उपयोग पहले भी उत्तर कोरियाई साइबर अभियानों में बार-बार दर्ज किया गया है, जिससे इस बात की पुष्टि होती है कि समूह ने ही इस ऑपरेशन को अंजाम दिया है।

'वेजमोल' आईटी कर्मचारी खतरे के साथ अभिसरण

कंटेजियस इंटरव्यू का आकलन वेजमोल (पर्पलडेल्टा) नामक एक अलग लेकिन संबंधित अभियान के पूरक के रूप में किया गया है। इस अभियान में उत्तर कोरियाई आईटी कर्मचारी चोरी या फर्जी पहचान का इस्तेमाल करके अनधिकृत रोजगार हासिल करते हैं, जिसका मुख्य उद्देश्य राजस्व उत्पन्न करना और जासूसी करना है। हालांकि वेजमोल 2017 से सक्रिय है और इसे एक अलग समूह के रूप में ट्रैक किया जाता है, जांचकर्ताओं ने इसमें उल्लेखनीय सामरिक और बुनियादी ढांचे की समानताएं पाई हैं।

देखे गए संबंधों में पर्पलब्रेवो ऑपरेटरों का उत्तर कोरियाई आईटी कर्मचारियों के समान व्यवहार प्रदर्शित करना, पर्पलब्रेवो इन्फ्रास्ट्रक्चर के साथ संचार करने वाली ज्ञात आईटी कर्मचारी गतिविधि से जुड़े रूसी आईपी पते और दोनों क्लस्टरों से जुड़े साझा एस्ट्रिल वीपीएन नोड्स शामिल हैं।

आपूर्ति श्रृंखला और उद्यम जोखिम में वृद्धि

एक विशेष रूप से चिंताजनक प्रवृत्ति फर्जी नौकरी प्रस्तावों का उपयोग करके उम्मीदवारों को नियोक्ता के स्वामित्व वाले सिस्टम पर कोडिंग मूल्यांकन पूरा करने के लिए लुभाना है, जिससे भर्ती घोटाला प्रभावी रूप से उद्यम घुसपैठ के एक माध्यम में परिवर्तित हो जाता है। यह दर्शाता है कि सॉफ्टवेयर और आईटी आपूर्ति श्रृंखला घुसपैठ के लिए अत्यधिक संवेदनशील है, यहां तक कि प्रचारित आईटी कर्मचारी रोजगार योजनाओं के बाहर भी।

कई लक्षित संगठन अपने बड़े ग्राहक आधार का विज्ञापन करते हैं, जिससे आपूर्ति श्रृंखला में सेंध लगने की संभावना बढ़ जाती है। सुरक्षा शोधकर्ताओं का कहना है कि उत्तर कोरियाई आईटी कर्मचारियों से जुड़े खतरे पर व्यापक ध्यान दिया गया है, लेकिन आपूर्ति श्रृंखला में घुसपैठ करने वाले पर्पल ब्रावो मॉडल को भी समान प्राथमिकता दी जानी चाहिए। संगठनों से आग्रह किया जाता है कि वे भर्ती प्रक्रियाओं, डेवलपर वातावरण नियंत्रणों और तृतीय-पक्ष जोखिम प्रबंधन को मजबूत करें ताकि उत्तर कोरियाई हमलावरों द्वारा संवेदनशील डेटा के रिसाव का पता लगाया जा सके, उसे रोका जा सके और उससे बचाव किया जा सके।