«Рекрутер из Одессы» с северокорейским акцентом. Как PurpleBravo обманывает айтишников со всего света

Северокорейская группа PurpleBravo уже более года ведёт целенаправленную вредоносную кампанию под названием Contagious Interview, в рамках которой использовались фальшивые собеседования для атаки на компании в Европе, Азии, на Ближнем Востоке и в Центральной Америке. Специалисты компании Recorded Future* выявили 3136 IP-адресов, предположительно связанных с целями этой операции, а также 20 организаций, ставших жертвами. Среди них компании из сферы искусственного интеллекта, криптовалют, финансов, IT-услуг, маркетинга и разработки программного обеспечения.

Атаки проводились с августа 2024 года по сентябрь 2025 года. Больше всего целевых IP-адресов было зафиксировано в Южной Азии и Северной Америке. Пострадавшие компании располагались в Бельгии, Болгарии, Индии, Италии, Коста-Рике, Нидерландах, Объединённых Арабских Эмиратах, Пакистане, Румынии и Вьетнаме. Авторы отчёта отмечают, что в некоторых случаях вредоносный код запускался непосредственно на рабочих устройствах, после чего риск выходил за рамки отдельного пользователя и распространялся на всю организацию.

Одним из механизмов заражения стала подмена проектов в Visual Studio Code. Пользователям предлагались задания с вредоносными файлами, маскирующимися под рабочие проекты. Это позволяло злоумышленникам устанавливать бэкдоры и получать доступ к корпоративной инфраструктуре.

Также были обнаружены фальшивые профили на LinkedIn, за которыми стояли участники PurpleBravo. Они представлялись разработчиками и рекрутёрами, якобы находящимися в Одессе, и использовали для распространения вредоносного кода несколько репозиториев на GitHub.

Команда PurpleBravo управляет как минимум двумя наборами серверов управления для разных типов вредоносного ПО. Один из них — это инфостилер на JavaScript под названием BeaverTail, другой — бэкдор GolangGhost, написанный на Go и основанный на открытом проекте HackBrowserData. Серверы размещены у 17 различных провайдеров, администрируются через VPN-сервис Astrill и используют IP-адреса из Китая.

Параллельно с Contagious Interview существует ещё одна активность, получившая название Wagemole. В рамках этой схемы сотрудники из КНДР устраиваются в зарубежные компании, скрывая своё происхождение. Несмотря на различия, между двумя направлениями зафиксированы совпадения по используемой инфраструктуре и тактикам. Зафиксированы случаи, когда один и тот же IP-адрес, связанный с PurpleBravo, использовался также для управления активностью, связанной с Wagemole.

Одна из ключевых уязвимостей, которую использует PurpleBravo, — это доверие компаний к внешним подрядчикам и кандидатам. Злоумышленники передают задания якобы на техническую оценку, а кандидаты, не подозревая об угрозе, запускают вредоносный код на выданных устройствах. Такая схема приводит к тому, что компрометация происходит не на уровне отдельного человека, а сразу всей организации. Особенно уязвимыми оказываются компании с большой клиентской базой, что создаёт серьёзные риски для цепочки поставок программного обеспечения.

* Recorded Future признана нежелательной организацией в России.