Theo ChainCatcher, các nguồn tin thị trường cho biết một nghiên cứu gần đây của công ty an ninh mạng Recorded Future tiết lộ rằng nhóm hacker PurpleBravo có liên hệ với Triều Tiên đã tiến hành hoạt động gián điệp mạng nhắm vào hơn 3.100 địa chỉ IP của các công ty trong lĩnh vực trí tuệ nhân tạo, crypto và dịch vụ tài chính thông qua các cuộc phỏng vấn xin việc giả mạo.
Nhóm tin tặc này giả danh là nhà tuyển dụng hoặc lập trình viên, sử dụng các cuộc phỏng vấn kỹ thuật làm cái cớ để lừa các nạn nhân thực thi mã độc. Chúng tự xưng là nhân viên của các công ty công nghệ hoặc crypto, yêu cầu người tìm việc xem xét mã nguồn, sao chép kho lưu trữ hoặc hoàn thành nhiệm vụ lập trình. Các nhà nghiên cứu bảo mật đã xác định được 20 tổ chức nạn nhân từ Nam Á, Bắc Mỹ và các khu vực khác. Nhóm này sử dụng nhiều bí danh và dùng danh tính giả ở Odessa, Ukraine để ngụy trang. Các cuộc tấn công sử dụng các phần mềm độc hại truy cập từ xa như PylangGhost và GolangGhost, tự động đánh cắp thông tin đăng nhập trình duyệt và cookie.
Hacker cũng sử dụng kho lưu trữ GitHub độc hại, VPN Astrill và 17 nhà cung cấp dịch vụ để lưu trữ máy chủ phần mềm độc hại của chúng. Hơn nữa, cuộc điều tra phát hiện ra rằng các kênh Telegram liên quan đang bán tài khoản LinkedIn và Upwork, và những kẻ tấn công cũng đã tương tác với sàn nền tảng giao dịch crypto MEXC Exchange.
