ChainCatcher에 따르면 시장 소식통은 보안 회사 Recorded Future의 최근 연구 결과에서 북한과 연계된 해킹 그룹 PurpleBravo가 가짜 채용 면접을 통해 인공지능, 암호화폐 및 금융 서비스 분야 기업의 3,100개 이상의 IP 주소를 대상으로 사이버 스파이 활동을 벌였다고 밝혔습니다.
이 그룹은 채용 담당자나 개발자로 위장하여 기술 면접을 핑계로 피해자들이 악성 코드를 실행하도록 유도했습니다. 공격자들은 암호화폐 또는 기술 회사 직원이라고 주장하며 구직자들에게 코드 검토, 저장소 복제 또는 프로그래밍 작업 완료를 요구했습니다. 보안 연구원들은 남아시아, 북미 및 기타 지역에서 20개 피해 조직을 확인했습니다. 이들은 여러 개의 가명을 사용했으며, 위장을 위해 우크라이나 오데사에 가짜 신분을 등록하기도 했습니다. 공격에는 PylangGhost 및 GolangGhost와 같은 원격 접속 트로이목마가 사용되었는데, 이 트로이목마는 브라우저 자격 증명과 쿠키를 자동으로 탈취합니다.
해커들은 악성 GitHub 저장소, Astrill VPN, 그리고 17개의 서비스 제공업체를 이용하여 악성코드 서버를 운영했습니다. 또한, 조사 결과 관련 텔레그램 채널에서 링크드인과 업워크 계정을 판매하고 있었으며, 공격자들은 암호화폐 거래소인 MEXC Exchange와도 접촉한 것으로 드러났습니다.
