ਪਰਪਲਬ੍ਰਾਵੋ ਹਮਲਾ ਮੁਹਿੰਮ

ਧਮਕੀ ਖੁਫੀਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ 3,136 ਵਿਅਕਤੀਗਤ IP ਪਤਿਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜੋ ਛੂਤ ਵਾਲੀ ਇੰਟਰਵਿਊ ਮੁਹਿੰਮ ਦੇ ਸੰਭਾਵਿਤ ਟੀਚਿਆਂ ਨਾਲ ਜੁੜੇ ਹੋਏ ਹਨ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਸ ਕਾਰਵਾਈ ਵਿੱਚ 20 ਸੰਭਾਵੀ ਪੀੜਤ ਸੰਗਠਨ ਸ਼ਾਮਲ ਹਨ ਜੋ ਆਰਟੀਫੀਸ਼ੀਅਲ ਇੰਟੈਲੀਜੈਂਸ, ਕ੍ਰਿਪਟੋਕਰੰਸੀ, ਵਿੱਤੀ ਸੇਵਾਵਾਂ, ਆਈਟੀ ਸੇਵਾਵਾਂ, ਮਾਰਕੀਟਿੰਗ ਅਤੇ ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਹਨ। ਪ੍ਰਭਾਵਿਤ ਸੰਸਥਾਵਾਂ ਯੂਰਪ, ਦੱਖਣੀ ਏਸ਼ੀਆ, ਮੱਧ ਪੂਰਬ ਅਤੇ ਮੱਧ ਅਮਰੀਕਾ ਵਿੱਚ ਫੈਲੀਆਂ ਹੋਈਆਂ ਹਨ, ਜੋ ਗਤੀਵਿਧੀ ਦੇ ਵਿਸ਼ਵਵਿਆਪੀ ਦਾਇਰੇ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ।

ਇਹ ਅਨੁਮਾਨ ਲਗਾਇਆ ਜਾਂਦਾ ਹੈ ਕਿ ਆਈਪੀ ਐਡਰੈੱਸ, ਜੋ ਕਿ ਜ਼ਿਆਦਾਤਰ ਦੱਖਣੀ ਏਸ਼ੀਆ ਅਤੇ ਉੱਤਰੀ ਅਮਰੀਕਾ ਵਿੱਚ ਕੇਂਦ੍ਰਿਤ ਹਨ, ਅਗਸਤ 2024 ਅਤੇ ਸਤੰਬਰ 2025 ਦੇ ਵਿਚਕਾਰ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਸਨ। ਪ੍ਰਭਾਵਿਤ ਕੰਪਨੀਆਂ ਕਥਿਤ ਤੌਰ 'ਤੇ ਬੈਲਜੀਅਮ, ਬੁਲਗਾਰੀਆ, ਕੋਸਟਾ ਰੀਕਾ, ਭਾਰਤ, ਇਟਲੀ, ਨੀਦਰਲੈਂਡ, ਪਾਕਿਸਤਾਨ, ਰੋਮਾਨੀਆ, ਸੰਯੁਕਤ ਅਰਬ ਅਮੀਰਾਤ ਅਤੇ ਵੀਅਤਨਾਮ ਵਿੱਚ ਸਥਿਤ ਹਨ।

ਪਰਪਲਬ੍ਰਾਵੋ: ਉੱਤਰੀ ਕੋਰੀਆਈ ਖ਼ਤਰਿਆਂ ਦਾ ਇੱਕ ਭਰਪੂਰ ਸਮੂਹ

ਇਹ ਗਤੀਵਿਧੀ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੇ ਇੱਕ ਸਮੂਹ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਉਂਦੀ ਹੈ ਜਿਸਨੂੰ ਪਰਪਲਬ੍ਰਾਵੋ ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸਦਾ ਪਹਿਲੀ ਵਾਰ 2023 ਦੇ ਅਖੀਰ ਵਿੱਚ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਸਮੂਹ ਸੁਰੱਖਿਆ ਭਾਈਚਾਰੇ ਵਿੱਚ ਕਈ ਅਹੁਦਿਆਂ ਹੇਠ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਵਿਆਪਕ ਉਦਯੋਗ ਟਰੈਕਿੰਗ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ:

CL-STA-0240, Deceptive Development, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi, and WaterPlum

ਪਰਪਲਬ੍ਰਾਵੋ ਨੇ ਲੰਬੇ ਸਮੇਂ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ, ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਟ੍ਰੇਡਕ੍ਰਾਫਟ, ਅਤੇ ਮਾਲਵੇਅਰ ਵਿਕਾਸ ਵਿੱਚ ਨਿਰੰਤਰ ਨਿਵੇਸ਼ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ, ਜੋ ਕਿ ਸਾਈਬਰ ਜਾਸੂਸੀ ਅਤੇ ਵਿੱਤੀ ਚੋਰੀ ਨੂੰ ਮਿਲਾਉਣ ਵਾਲੇ ਉਦੇਸ਼ਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ।

ਭਰਤੀ ਪ੍ਰਕਿਰਿਆ ਅਤੇ ਡਿਵੈਲਪਰ ਈਕੋਸਿਸਟਮ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ

ਹਾਲੀਆ ਖੋਜਾਂ ਛੂਤ ਵਾਲੀ ਇੰਟਰਵਿਊ ਮੁਹਿੰਮ ਵਿੱਚ ਇੱਕ ਵੱਡੇ ਵਿਕਾਸ ਦੇ ਖੁਲਾਸੇ ਤੋਂ ਬਾਅਦ ਆਈਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਵਿਰੋਧੀ ਬੈਕਡੋਰ ਵੰਡਣ ਲਈ ਖਤਰਨਾਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿਜ਼ੂਅਲ ਸਟੂਡੀਓ ਕੋਡ ਪ੍ਰੋਜੈਕਟਾਂ ਨੂੰ ਹਥਿਆਰ ਬਣਾਉਂਦੇ ਹਨ। ਇਹ ਰਣਨੀਤੀ ਭਰੋਸੇਯੋਗ ਡਿਵੈਲਪਰ ਟੂਲਸ ਅਤੇ ਵਰਕਫਲੋ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਸਫਲ ਸਮਝੌਤਾ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਵੱਧ ਜਾਂਦੀ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਧੋਖਾਧੜੀ ਵਾਲੇ ਲਿੰਕਡਇਨ ਵਿਅਕਤੀਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜੋ ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਭਰਤੀ ਕਰਨ ਵਾਲਿਆਂ ਵਜੋਂ ਪੇਸ਼ ਆਉਂਦੇ ਹਨ, ਜੋ ਕਿ ਓਡੇਸਾ, ਯੂਕਰੇਨ ਤੋਂ ਕੰਮ ਕਰਨ ਦਾ ਦਾਅਵਾ ਕਰਦੇ ਹਨ, ਨਾਲ ਹੀ ਬੀਵਰਟੇਲ ਵਰਗੇ ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਖਤਰਨਾਕ GitHub ਰਿਪੋਜ਼ਟਰੀਆਂ ਵੀ ਹਨ। ਕਈ ਘਟਨਾਵਾਂ ਵਿੱਚ, ਨੌਕਰੀ ਭਾਲਣ ਵਾਲੇ ਉਮੀਦਵਾਰਾਂ ਨੇ ਕਥਿਤ ਤੌਰ 'ਤੇ ਕਾਰਪੋਰੇਟ ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਲਾਗੂ ਕੀਤਾ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਵਿਅਕਤੀਆਂ ਤੋਂ ਪਰੇ ਅਤੇ ਸਿੱਧੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਣ ਵਿੱਚ ਫੈਲ ਗਿਆ।

ਮਾਲਵੇਅਰ ਆਰਸਨਲ ਅਤੇ ਕਮਾਂਡ ਬੁਨਿਆਦੀ ਢਾਂਚਾ

ਪਰਪਲਬ੍ਰਾਵੋ ਕਈ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਵੱਖਰੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਸੰਚਾਲਨ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ ਬੀਵਰਟੇਲ, ਇੱਕ ਜਾਵਾ ਸਕ੍ਰਿਪਟ-ਅਧਾਰਿਤ ਇਨਫੋਸਟੀਲਰ ਅਤੇ ਲੋਡਰ, ਅਤੇ ਗੋਲੰਗਘੋਸਟ (ਜਿਸਨੂੰ ਫਲੈਕਸੀਬਲਫੇਰੇਟ ਜਾਂ ਵੀਜ਼ਲਸਟੋਰ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ), ਇੱਕ ਗੋ-ਅਧਾਰਿਤ ਬੈਕਡੋਰ ਸ਼ਾਮਲ ਹੈ ਜੋ ਓਪਨ-ਸੋਰਸ ਹੈਕਬ੍ਰਾਉਜ਼ਰਡਾਟਾ ਪ੍ਰੋਜੈਕਟ ਤੋਂ ਲਿਆ ਗਿਆ ਹੈ।

ਸਮੂਹ ਦੇ C2 ਸਰਵਰ 17 ਹੋਸਟਿੰਗ ਪ੍ਰਦਾਤਾਵਾਂ ਵਿੱਚ ਵੰਡੇ ਗਏ ਹਨ ਅਤੇ Astrill VPN ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਪ੍ਰਬੰਧਨ ਗਤੀਵਿਧੀ ਚੀਨ ਵਿੱਚ IP ਰੇਂਜਾਂ ਤੱਕ ਟ੍ਰੈਕ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। Astrill VPN ਦੀ ਵਰਤੋਂ ਨੂੰ ਪਿਛਲੇ ਉੱਤਰੀ ਕੋਰੀਆਈ ਸਾਈਬਰ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਵਾਰ-ਵਾਰ ਦਸਤਾਵੇਜ਼ੀ ਰੂਪ ਵਿੱਚ ਦਰਜ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਵਿਸ਼ੇਸ਼ਤਾ ਵਿਸ਼ਵਾਸ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦਾ ਹੈ।

'ਵੇਜਮੋਲ' ਆਈਟੀ ਵਰਕਰ ਖ਼ਤਰੇ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ

ਛੂਤ ਵਾਲੀ ਇੰਟਰਵਿਊ ਦਾ ਮੁਲਾਂਕਣ ਇੱਕ ਵੱਖਰੀ ਪਰ ਸੰਬੰਧਿਤ ਮੁਹਿੰਮ ਦੇ ਪੂਰਕ ਵਜੋਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜਿਸਨੂੰ Wagemole (PurpleDelta) ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਕਾਰਵਾਈ ਵਿੱਚ ਉੱਤਰੀ ਕੋਰੀਆਈ IT ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਚੋਰੀ ਜਾਂ ਮਨਘੜਤ ਪਛਾਣਾਂ ਦੇ ਤਹਿਤ ਅਣਅਧਿਕਾਰਤ ਰੁਜ਼ਗਾਰ ਪ੍ਰਾਪਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਮਾਲੀਆ ਪੈਦਾ ਕਰਨ ਅਤੇ ਜਾਸੂਸੀ ਕਰਨ ਲਈ। ਹਾਲਾਂਕਿ Wagemole 2017 ਤੋਂ ਸਰਗਰਮ ਹੈ ਅਤੇ ਇੱਕ ਵੱਖਰੇ ਸਮੂਹ ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ ਮਹੱਤਵਪੂਰਨ ਰਣਨੀਤਕ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਓਵਰਲੈਪ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ।

ਦੇਖੇ ਗਏ ਲਿੰਕਾਂ ਵਿੱਚ ਉੱਤਰੀ ਕੋਰੀਆਈ ਆਈਟੀ ਕਰਮਚਾਰੀਆਂ ਦੇ ਨਾਲ ਇਕਸਾਰ ਵਿਵਹਾਰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਵਾਲੇ ਪਰਪਲਬ੍ਰਾਵੋ ਆਪਰੇਟਰ, ਪਰਪਲਬ੍ਰਾਵੋ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਵਾਲੇ ਜਾਣੇ-ਪਛਾਣੇ ਆਈਟੀ ਕਰਮਚਾਰੀ ਗਤੀਵਿਧੀ ਨਾਲ ਜੁੜੇ ਰੂਸੀ ਆਈਪੀ ਪਤੇ, ਅਤੇ ਦੋਵਾਂ ਕਲੱਸਟਰਾਂ ਨਾਲ ਜੁੜੇ ਸਾਂਝੇ ਐਸਟ੍ਰਿਲ ਵੀਪੀਐਨ ਨੋਡ ਸ਼ਾਮਲ ਹਨ।

ਸਪਲਾਈ-ਚੇਨ ਅਤੇ ਉੱਦਮ ਜੋਖਮ ਵਿੱਚ ਵਾਧਾ

ਇੱਕ ਖਾਸ ਤੌਰ 'ਤੇ ਚਿੰਤਾਜਨਕ ਰੁਝਾਨ ਉਮੀਦਵਾਰਾਂ ਨੂੰ ਮਾਲਕ-ਮਾਲਕੀਅਤ ਵਾਲੇ ਸਿਸਟਮਾਂ 'ਤੇ ਕੋਡਿੰਗ ਮੁਲਾਂਕਣਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ ਲੁਭਾਉਣ ਲਈ ਜਾਅਲੀ ਨੌਕਰੀ ਦੀਆਂ ਪੇਸ਼ਕਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਭਰਤੀ ਘੁਸਪੈਠ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਇੱਕ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਘੁਸਪੈਠ ਵੈਕਟਰ ਵਿੱਚ ਬਦਲਦਾ ਹੈ। ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਸਾਫਟਵੇਅਰ ਅਤੇ ਆਈਟੀ ਸਪਲਾਈ ਚੇਨ ਘੁਸਪੈਠ ਲਈ ਬਹੁਤ ਜ਼ਿਆਦਾ ਸੰਵੇਦਨਸ਼ੀਲ ਹਨ, ਇੱਥੋਂ ਤੱਕ ਕਿ ਚੰਗੀ ਤਰ੍ਹਾਂ ਪ੍ਰਚਾਰਿਤ ਆਈਟੀ ਵਰਕਰ ਰੁਜ਼ਗਾਰ ਯੋਜਨਾਵਾਂ ਤੋਂ ਬਾਹਰ ਵੀ।

ਬਹੁਤ ਸਾਰੇ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਸੰਗਠਨ ਵੱਡੇ ਗਾਹਕ ਅਧਾਰਾਂ ਦਾ ਇਸ਼ਤਿਹਾਰ ਦਿੰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਸਪਲਾਈ-ਚੇਨ ਸਮਝੌਤਾ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਵਧਦੀ ਹੈ। ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਚੇਤਾਵਨੀ ਦਿੰਦੇ ਹਨ ਕਿ, ਜਦੋਂ ਕਿ ਉੱਤਰੀ ਕੋਰੀਆਈ ਆਈਟੀ ਵਰਕਰ ਦੇ ਖ਼ਤਰੇ ਨੂੰ ਵਿਆਪਕ ਧਿਆਨ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਸਪਲਾਈ-ਚੇਨ ਘੁਸਪੈਠ ਦੇ ਪਰਪਲਬ੍ਰਾਵੋ ਮਾਡਲ ਨੂੰ ਬਰਾਬਰ ਤਰਜੀਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ। ਸੰਗਠਨਾਂ ਨੂੰ ਉੱਤਰੀ ਕੋਰੀਆਈ ਖਤਰੇ ਦੇ ਕਾਰਕਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਐਕਸਪੋਜਰ ਦਾ ਪਤਾ ਲਗਾਉਣ, ਵਿਘਨ ਪਾਉਣ ਅਤੇ ਰੋਕਣ ਲਈ ਭਰਤੀ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਡਿਵੈਲਪਰ ਵਾਤਾਵਰਣ ਨਿਯੰਤਰਣ ਅਤੇ ਤੀਜੀ-ਧਿਰ ਜੋਖਮ ਪ੍ਰਬੰਧਨ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।