Tin tặc đã truy cập vào máy tính của một nhà phát triển bằng cách đóng giả là một cựu nhà thầu.
Giao thức DeFi Radiant Capital đã quy kết một vụ khai thác trị giá 50 triệu đô la mà họ phải chịu vào tháng 10 cho tin tặc Triều Tiên.
Theo một báo cáo được công bố vào ngày 6 tháng 12, những kẻ tấn công đã bắt đầu đặt nền móng cho vụ tấn công ngày 16 tháng 10 vào giữa tháng 9, khi một tin nhắn Telegram từ một người có vẻ là cựu nhà thầu đáng tin cậy được gửi đến một nhà phát triển của Radiant Capital.
Tin nhắn cho biết nhà thầu đang theo đuổi một cơ hội nghề nghiệp mới liên quan đến kiểm toán hợp đồng thông minh và đang tìm kiếm phản hồi. Nó bao gồm một liên kết đến một tệp PDF được nén, mà nhà phát triển đã mở và chia sẻ với các đồng nghiệp khác.
Theo báo cáo, tin nhắn hiện được cho là đến từ một “kẻ đe dọa liên kết với CHDCND Triều Tiên” đang mạo danh nhà thầu. Tệp này chứa một phần mềm độc hại có tên là INLETDRIFT, thiết lập một cửa hậu macOS dai dẳng trong khi hiển thị một tệp PDF có vẻ hợp lệ cho người dùng.
Radiant Capital cho biết các cuộc kiểm tra và mô phỏng truyền thống không cho thấy sự khác biệt rõ ràng nào, khiến mối đe dọa hầu như vô hình trong các giai đoạn đánh giá thông thường.
Thông qua việc truy cập vào máy tính, tin tặc đã có thể kiểm soát một số khóa riêng tư.
Liên kết đến Triều Tiên đã được công ty an ninh mạng Mandiant xác định, mặc dù cuộc điều tra vẫn chưa hoàn tất. Mandiant cho biết họ tin rằng cuộc tấn công được dàn dựng bởi UNC4736, một nhóm liên kết với Tổng cục Trinh sát của quốc gia này. Nhóm này còn được gọi là AppleJeus hoặc Citrine Sleet.
Nhóm này đã bị cáo buộc thực hiện một số cuộc tấn công khác có liên quan đến các công ty tiền điện tử. Trước đây, nhóm này đã sử dụng các trang web trao đổi tiền điện tử giả mạo để lừa mọi người tải xuống phần mềm độc hại thông qua các liên kết đến các vị trí tuyển dụng và ví giả.
Sự cố này xảy ra sau một vụ tấn công không liên quan trước đó vào Radiant Capital vào tháng 1, trong đó công ty này đã mất 4,5 triệu đô la.