«Рекрутер из Одессы» с северокорейским акцентом. Как PurpleBravo обманывает айтишников со всего света
NewsMakerТехническое задание оказалось идеальной приманкой для десятков компаний.
Северокорейская группа PurpleBravo уже более года ведёт целенаправленную вредоносную кампанию под названием Contagious Interview , в рамках которой использовались фальшивые собеседования для атаки на компании в Европе, Азии, на Ближнем Востоке и в Центральной Америке. Специалисты компании Recorded Future* выявили 3136 IP-адресов, предположительно связанных с целями этой операции, а также 20 организаций, ставших жертвами. Среди них компании из сферы искусственного интеллекта, криптовалют, финансов, IT-услуг, маркетинга и разработки программного обеспечения.
Атаки проводились с августа 2024 года по сентябрь 2025 года. Больше всего целевых IP-адресов было зафиксировано в Южной Азии и Северной Америке. Пострадавшие компании располагались в Бельгии, Болгарии, Индии, Италии, Коста-Рике, Нидерландах, Объединённых Арабских Эмиратах, Пакистане, Румынии и Вьетнаме. Авторы отчёта отмечают, что в некоторых случаях вредоносный код запускался непосредственно на рабочих устройствах, после чего риск выходил за рамки отдельного пользователя и распространялся на всю организацию.
Одним из механизмов заражения стала подмена проектов в Visual Studio Code. Пользователям предлагались задания с вредоносными файлами, маскирующимися под рабочие проекты. Это позволяло злоумышленникам устанавливать бэкдоры и получать доступ к корпоративной инфраструктуре.
Также были обнаружены фальшивые профили на LinkedIn, за которыми стояли участники PurpleBravo. Они представлялись разработчиками и рекрутёрами, якобы находящимися в Одессе, и использовали для распространения вредоносного кода несколько репозиториев на GitHub .
Северокорейская группа PurpleBravo уже более года ведёт целенаправленную вредоносную кампанию под названием Contagious Interview , в рамках которой использовались фальшивые собеседования для атаки на компании в Европе, Азии, на Ближнем Востоке и в Центральной Америке. Специалисты компании Recorded Future* выявили 3136 IP-адресов, предположительно связанных с целями этой операции, а также 20 организаций, ставших жертвами. Среди них компании из сферы искусственного интеллекта, криптовалют, финансов, IT-услуг, маркетинга и разработки программного обеспечения.
Атаки проводились с августа 2024 года по сентябрь 2025 года. Больше всего целевых IP-адресов было зафиксировано в Южной Азии и Северной Америке. Пострадавшие компании располагались в Бельгии, Болгарии, Индии, Италии, Коста-Рике, Нидерландах, Объединённых Арабских Эмиратах, Пакистане, Румынии и Вьетнаме. Авторы отчёта отмечают, что в некоторых случаях вредоносный код запускался непосредственно на рабочих устройствах, после чего риск выходил за рамки отдельного пользователя и распространялся на всю организацию.
Одним из механизмов заражения стала подмена проектов в Visual Studio Code. Пользователям предлагались задания с вредоносными файлами, маскирующимися под рабочие проекты. Это позволяло злоумышленникам устанавливать бэкдоры и получать доступ к корпоративной инфраструктуре.
Также были обнаружены фальшивые профили на LinkedIn, за которыми стояли участники PurpleBravo. Они представлялись разработчиками и рекрутёрами, якобы находящимися в Одессе, и использовали для распространения вредоносного кода несколько репозиториев на GitHub .
Цифровой контроль неизбежен. Инструкция, как сохранить свободу. Подпишитесь на нас
Команда PurpleBravo управляет как минимум двумя наборами серверов управления для разных типов вредоносного ПО. Один из них — это инфостилер на JavaScript под названием BeaverTail, другой — бэкдор GolangGhost, написанный на Go и основанный на открытом проекте HackBrowserData. Серверы размещены у 17 различных провайдеров, администрируются через VPN-сервис Astrill и используют IP-адреса из Китая.
Параллельно с Contagious Interview существует ещё одна активность, получившая название Wagemole. В рамках этой схемы сотрудники из КНДР устраиваются в зарубежные компании, скрывая своё происхождение. Несмотря на различия, между двумя направлениями зафиксированы совпадения по используемой инфраструктуре и тактикам. Зафиксированы случаи, когда один и тот же IP-адрес, связанный с PurpleBravo, использовался также для управления активностью, связанной с Wagemole.
Одна из ключевых уязвимостей, которую использует PurpleBravo, — это доверие компаний к внешним подрядчикам и кандидатам. Злоумышленники передают задания якобы на техническую оценку, а кандидаты, не подозревая об угрозе, запускают вредоносный код на выданных устройствах. Такая схема приводит к тому, что компрометация происходит не на уровне отдельного человека, а сразу всей организации. Особенно уязвимыми оказываются компании с большой клиентской базой, что создаёт серьёзные риски для цепочки поставок программного обеспечения.
* Recorded Future признана нежелательной организацией в России.
Команда PurpleBravo управляет как минимум двумя наборами серверов управления для разных типов вредоносного ПО. Один из них — это инфостилер на JavaScript под названием BeaverTail, другой — бэкдор GolangGhost, написанный на Go и основанный на открытом проекте HackBrowserData. Серверы размещены у 17 различных провайдеров, администрируются через VPN-сервис Astrill и используют IP-адреса из Китая.
Параллельно с Contagious Interview существует ещё одна активность, получившая название Wagemole. В рамках этой схемы сотрудники из КНДР устраиваются в зарубежные компании, скрывая своё происхождение. Несмотря на различия, между двумя направлениями зафиксированы совпадения по используемой инфраструктуре и тактикам. Зафиксированы случаи, когда один и тот же IP-адрес, связанный с PurpleBravo, использовался также для управления активностью, связанной с Wagemole.
Одна из ключевых уязвимостей, которую использует PurpleBravo, — это доверие компаний к внешним подрядчикам и кандидатам. Злоумышленники передают задания якобы на техническую оценку, а кандидаты, не подозревая об угрозе, запускают вредоносный код на выданных устройствах. Такая схема приводит к тому, что компрометация происходит не на уровне отдельного человека, а сразу всей организации. Особенно уязвимыми оказываются компании с большой клиентской базой, что создаёт серьёзные риски для цепочки поставок программного обеспечения.
* Recorded Future признана нежелательной организацией в России.