Мрієте пройти "інтерв'ю мрії": як очистити свій гаманець до нуля?

Уявіть собі, ви досвідчений Web3-розробник. Одного дня на LinkedIn раптово з’являється контакт від великої компанії, яка пропонує вам «мрійську посаду», від якої неможливо відмовитись.

Зв’язок дуже активний, і незабаром вам надсилають архів, який називається «кодова база для співбесіди». Ви не замислюючись швидко вводите команду npm install, готуючись до великих звершень.

Саме в момент натискання Enter ви «заражуєтесь».

Ваші облікові дані для входу, дані браузера, навіть приватний ключ криптогаманця — все таємно збирається і відправляється на невідомий сервер. Робота зірвалася, і ви раптом стаєте «банкоматом» для інших (а саме — для державних хакерів).

Це не кіно, це реальна подія.

Ця атака отримала назву «Інфекційне співбесіду» (Contagious Interview). Останній звіт безпеки показує, що вже понад 300 зловмисних пакетів були завантажені на npm — платформу, яка є «фундаментом сучасного Інтернету».

За цим стоїть КНДР.

Мабуть, всі подумають: знову вони? Як таке закриття країни, як у КНДР, змогло створити одну з найкращих у світі хакерських команд?

«Заражений» LEGO: наскільки жорстока ця атака?

Щоб зрозуміти серйозність, потрібно спершу зрозуміти, що таке npm.

Простими словами, це — величезна «бібліотека цифрових LEGO-кубиків». Програмісти по всьому світу не люблять винаходити колесо з нуля і зазвичай шукають готові «блоки» (кодові пакети), щоб швидко зібрати свій проект.

«Інфекційне співбесіду» ж — це підступна атака, яка підмішує «отруйні» пакети у цю «бібліотеку LEGO».

Зловмисники маскуються під популярні інструменти, такі як express, dotenv, і завантажують понад 300 шкідливих пакетів. Розробники, особливо ті, хто працює з Web3 і криптовалютами, піддаються спокусі використати ці «отруйні» блоки, і тоді зловмисне ПЗ миттєво активується, краде все.

Найстрашніше — що?

Ці «отруйні» пакети потім використовуються у безлічі додатків і проектів, що спричиняє невидиме поширення «токсичності». GitHub (материнська компанія npm) намагається видалити їх, але дослідники кажуть, що це — гра у «змійку»: видалили один, з’являється новий, і так без кінця.

Ця атака — точна, терпляча і дуже хитра. А терпіння — саме те, що найбільше лякає у КНДРівських хакерів.

Розкриття таємниць: чому КНДРівські хакери такі «непереможні»?

Коли інші хакери ще демонструють технічні навички, збирають розвіддані або заробляють на стороні, ціль КНДР — просто заробляти гроші. І роблять це — для країни.

Вони не просто «хакери», а «кібер-військові» і «фінансові грабіжники», які «зарабляють» для держави. Їхня «непереможність» базується на трьох основних факторах:

1. Надзвичайна мотивація: це «державний бізнес», що фінансує ядерні програми

Це — ключ до їх розуміння.

Через довгі роки жорстких санкцій, КНДР майже втратила всі зовнішні валютні доходи. Щоб підтримувати свою діяльність, особливо ядерні та ракетні програми, вони використовують кіберпростір як ідеальне джерело доходів.

За даними ООН, за останні роки КНДРівські хакери викрали активів на суму понад 3 мільярди доларів. Так, 3 мільярди доларів.

Навіть є звіт, що ці нелегальні доходи забезпечують близько 40% фінансування їхніх «зброєних проектів».

Уявіть собі: коли KPI хакера — «заробляти» для країни «бюджет на ракети», його мотивація, дисципліна і бойова готовність — зовсім інші, ніж у звичайних хакерів.

2. Вимогливий відбір: державний «клас геніїв»

КНДРівські хакери — це не самовільно навчені «інтернет-кафе хлопці», а «геніальні зброї», виховані під державним керівництвом.

Відбір починається ще з дитинства. Вони шукають у всій країні найталановитіших у математиці та інформатиці «геніїв-юнаків», яких потім навчають у престижних університетах, наприклад, у Пхеньянському університеті комп’ютерних наук.

Там їх навчають кілька років у високотехнологічних, військових умовах.

Після закінчення найкращі потрапляють у страшну структуру — Генеральне розвідувальне управління (RGB). Там працюють відомі підрозділи, наприклад, «Група Лазаря» (Lazarus Group) і «Бюро 121». Вони мають кілька тисяч «кібер-військових», кожен — національний скарб.

3. Вражаюча тактика: терпіння, психологія, швидкість навчання

Ця «інфекційна співбесіда» яскраво демонструє їхні тактичні особливості.

По-перше, — надзвичайне терпіння. Вони можуть витратити кілька місяців, щоб створити ідеальний профіль у LinkedIn, вести з вами бесіду, встановити довіру і лише потім «злити» вас.

По-друге, — глибоке знання психології (соціальна інженерія). Вони використовують бажання розробників отримати хорошу роботу. Уявіть: коли йде співбесіда, хто буде перевіряти кодові пакети, які надсилає «інтерв’юер»? Вони використовують цю психологічну слабкість.

Нарешті, — неймовірна швидкість ітерацій. Вони — одні з перших, хто переключив ціль з традиційних банків (наприклад, з банку Бенгладеш у 2016 році) на криптовалюти (наприклад, у 2022 році — крадіжка 6,25 мільярдів доларів у Axie Infinity). Web3, DeFi, міжланцюгові мости — вони знають у цій сфері все.

Коли «відкритий код» стає «зброєю»: що нам робити?

Ця «інфекційна співбесіда» — це тривожний дзвінок для всіх.

Вона використовує найкращі якості відкритої екосистеми — відкритість. Спочатку це було для інновацій, а тепер — ідеальне середовище для поширення «вірусів» зловмисників.

Навіть якщо ви не програміст, ви не уникнете. Уявіть: всі додатки, які ви щодня використовуєте, побудовані на цих кодах. Зараження «зверху» — неминуче «знизу».

Для розробників і компаній вже настав час бути дуже обережними. Кожного разу, коли ви виконуєте npm install, робіть це з максимальною увагою, ніби розбираєте бомбу — це потенційно «високоризикована операція».

Ця гра у «змійку» точно триватиме і далі. Поки модель «державного бізнесу» КНДР не зміниться, їх «фінансові полювання» за криптовалютами і Web3 ніколи не припиняться. **$LAYER **