Piratas informáticos vinculados con Corea del Norte están llevando a cabo el esquema de trabajadores de TI falsos con nuevas tácticas, según la empresa de seguridad de riesgo humano Nisos.

La empresa está rastreando una red global de trabajadores de TI que se hacen pasar por ciudadanos vietnamitas, japoneses y singapurenses que intentan obtener empleo en puestos de ingeniería remota y desarrolladores de blockchain de pila completa en Japón y los EE. UU.

En un informe del 4 de marzo, compartió que identificó seis perfiles, dos de los cuales parecen haber obtenido empleo y cuatro buscan obtener puestos remotos.

Todos están usando GitHub para crear nuevos perfiles o reutilizar cuentas de GitHub existentes y contenido de cartera de perfiles más antiguos para respaldar a sus nuevos perfiles.

Nisos evaluó que esta red probablemente sea parte del esquema de trabajadores de TI falsos de Corea del Norte basado en una variedad de técnicas, tácticas y procedimientos (TTP) que se alinean con campañas informadas anteriormente:

Las personas afirman tener experiencia en tres áreas: desarrollo de aplicaciones web y móviles, conocimiento de múltiples lenguajes de programación y comprensión de la tecnología blockchain.
Las personas tienen cuentas en sitios web de información sobre empleo y personas, plataformas de contratación autónoma específicas de la industria de TI, herramientas y plataformas de desarrollo de software y aplicaciones de mensajería comunes, pero generalmente carecen de cuentas en las redes sociales, lo que sugiere que las personas se crean únicamente con el propósito de obtener empleo
Las fotos de perfil están manipuladas digitalmente: la cara del trabajador de TI a menudo se pega sobre una foto de archivo para mostrar al individuo trabajando con colegas.
Las personas dentro de la red usan direcciones de correo electrónico similares.
Las direcciones de correo electrónico a menudo incluyen los mismos números, como 116, y la palabra «dev».

Nisos evaluó que el objetivo de la red es ganar dinero para financiar los programas de desarrollo de armas nucleares y misiles balísticos de Pyongyang.

Estos hallazgos se producen unas semanas después de que se informara de que piratas informáticos norcoreanos habían robado perfiles de GitHub para crear perfiles falsos de trabajadores de TI en una nueva campaña de malware dirigida a desarrolladores autónomos con anuncios de trabajo engañosos y software malicioso disfrazado de herramientas legítimas.

La campaña, vinculada a un actor de amenazas llamado «DeceptiveDevelopment», utiliza sitios web falsos, repositorios de GitHub y tácticas de ingeniería social para engañar a las víctimas para que descarguen malware que puede comprometer sus sistemas y robar información confidencial.

La empresa proporcionó una lista de recomendaciones para que las empresas eviten caer en este tipo de esquema.

Entre ellas se incluyen:

• Asegurarse de que los solicitantes proporcionen documentación de identificación en persona para permitir que los equipos de recursos humanos identifiquen mejor la documentación falsificada.
• Realizar una revisión detallada de la presencia en línea del solicitante para comprobar la coherencia en el nombre, la apariencia, el historial laboral y la educación antes de ofrecerle empleo