Kempen Serangan PurpleBravo
Penganalisis risikan ancaman telah mengenal pasti 3,136 alamat IP individu yang dikaitkan dengan sasaran kempen Contagious Interview. Operasi ini dipercayai melibatkan 20 organisasi mangsa berpotensi yang beroperasi merentasi kecerdasan buatan, mata wang kripto, perkhidmatan kewangan, perkhidmatan IT, pemasaran dan pembangunan perisian. Entiti yang terjejas merangkumi Eropah, Asia Selatan, Timur Tengah dan Amerika Tengah, yang menggariskan skop global aktiviti tersebut.
Alamat IP, yang sebahagian besarnya tertumpu di Asia Selatan dan Amerika Utara, dinilai telah disasarkan antara Ogos 2024 dan September 2025. Syarikat-syarikat yang terjejas dilaporkan berpangkalan di Belgium, Bulgaria, Costa Rica, India, Itali, Belanda, Pakistan, Romania, Emiriah Arab Bersatu dan Vietnam.
Isi kandungan
PurpleBravo: Kelompok Ancaman Korea Utara yang Banyak
Aktiviti ini dikaitkan dengan kluster yang berkaitan dengan Korea Utara yang dikesan sebagai PurpleBravo, yang pertama kali didokumenkan pada akhir tahun 2023. Kumpulan ini dikenali di seluruh komuniti keselamatan di bawah pelbagai gelaran, mencerminkan penjejakan industri yang luas:
CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Chollima Terkenal, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi dan WaterPlum
PurpleBravo telah menunjukkan pelaburan berterusan dalam infrastruktur jangka panjang, kraftangan kejuruteraan sosial dan pembangunan perisian hasad, sejajar dengan objektif yang menggabungkan pengintipan siber dan kecurian kewangan.
Memanfaatkan Proses Pengambilan Pekerja dan Ekosistem Pembangun
Penemuan terbaru susulan pendedahan evolusi besar dalam kempen Contagious Interview, di mana pihak musuh menggunakan projek Microsoft Visual Studio Code yang berniat jahat untuk mengedarkan pintu belakang. Taktik ini menyalahgunakan alatan dan aliran kerja pembangun yang dipercayai, sekali gus meningkatkan kemungkinan kompromi yang berjaya.
Para penyelidik telah mengenal pasti persona LinkedIn palsu yang menyamar sebagai pembangun dan perekrut, mendakwa beroperasi dari Odesa, Ukraine, di samping repositori GitHub berniat jahat yang direka untuk mengedarkan perisian hasad seperti BeaverTail. Dalam beberapa insiden, calon pencari kerja dilaporkan melaksanakan kod berniat jahat pada peranti yang dikeluarkan oleh korporat, meluaskan pencerobohan melangkaui individu dan terus ke persekitaran perusahaan.
Infrastruktur dan Arsenal Perisian Hasad
PurpleBravo mengendalikan infrastruktur arahan dan kawalan berasingan untuk menyokong pelbagai keluarga perisian hasad. Ini termasuk BeaverTail, pencuri maklumat dan pemuat berasaskan JavaScript, dan GolangGhost (juga dikesan sebagai FlexibleFerret atau WeaselStore), pintu belakang berasaskan Go yang diperoleh daripada projek HackBrowserData sumber terbuka.
Pelayan C2 kumpulan itu diedarkan merentasi 17 penyedia hosting dan ditadbir melalui Astrill VPN, dengan aktiviti pengurusan dikesan kepada julat IP di China. Penggunaan Astrill VPN telah berulang kali didokumenkan dalam operasi siber Korea Utara sebelum ini, mengukuhkan keyakinan atribusi.
Konvergensi Dengan Ancaman Pekerja IT 'Wagemole'
Contagious Interview dinilai untuk melengkapi kempen berasingan tetapi berkaitan yang dikenali sebagai Wagemole (PurpleDelta). Operasi itu melibatkan pekerja IT Korea Utara yang mendapatkan pekerjaan tanpa kebenaran di bawah identiti yang dicuri atau direka, terutamanya untuk menjana pendapatan dan menjalankan pengintipan. Walaupun Wagemole telah aktif sejak 2017 dan dikesan sebagai kluster yang berbeza, penyiasat telah menemui pertindihan taktikal dan infrastruktur yang ketara.
Pautan yang diperhatikan termasuk pengendali PurpleBravo yang menunjukkan tingkah laku yang konsisten dengan pekerja IT Korea Utara, alamat IP Rusia yang dikaitkan dengan aktiviti pekerja IT yang diketahui berkomunikasi dengan infrastruktur PurpleBravo dan nod VPN Astrill yang dikongsi yang dikaitkan dengan kedua-dua kluster.
Meningkatkan Risiko Rantaian Bekalan dan Perusahaan
Satu trend yang amat membimbangkan ialah penggunaan tawaran kerja rekaan untuk menarik calon supaya melengkapkan penilaian pengekodan pada sistem milik majikan, sekali gus menukar penipuan pengambilan pekerja kepada vektor pencerobohan perusahaan. Ini menunjukkan bahawa rantaian bekalan perisian dan IT sangat mudah terdedah kepada penyusupan, walaupun di luar skim pekerjaan pekerja IT yang dihebahkan dengan baik.
Banyak organisasi yang disasarkan mengiklankan pangkalan pelanggan yang besar, sekali gus menguatkan potensi kompromi rantaian bekalan hiliran. Penyelidik keselamatan memberi amaran bahawa, walaupun ancaman pekerja IT Korea Utara telah mendapat perhatian meluas, model penyusupan rantaian bekalan PurpleBravo memerlukan keutamaan yang sama. Organisasi digesa untuk memperkukuh proses pengambilan pekerja, kawalan persekitaran pembangun dan pengurusan risiko pihak ketiga untuk mengesan, mengganggu dan mencegah pendedahan data sensitif kepada pelaku ancaman Korea Utara.
