网络安全企业Logpresso于11日表示,已发布《朝鲜IT人员伪造身份入职OSINT分析》报告,分析朝鲜IT人员以假身份远程进入海外企业IT岗位任职的运作方式。
该报告追踪了朝鲜IT人员以假身份入职海外企业后的相关活动,分析基础来自深网和暗网上流传的InfoStealer感染日志。Logpresso表示,与以恶意软件逆向分析为主的传统研究路径不同,此次报告重点交叉分析了从涉事人员实际使用设备泄露的数据,包括邮箱、密码、登录IP、硬件ID(HWID)和语言设置等信息,据此梳理出这一伪装就业网络的组织化结构。
Logpresso将美国政府及民间研究机构公开的、与朝鲜伪造身份入职活动相关的1879个邮箱样本,与其自2024年以来收集的InfoStealer感染记录进行比对,并对提取出的104万5645条记录展开交叉验证。结果识别出80个邮箱、66个IP地址和66个硬件ID,并确认相关活动曾从28个国家访问490个域名。
报告显示,相关人员存在使用一台电脑最多创建5个假身份、分别向不同企业求职的迹象。同一设备中发现了多个不同邮箱及活动记录,对应姓名和国籍均不相同。Logpresso据此判断,这并非个人层面的零散行为,而是一套有组织运作的多身份体系。
密码使用情况也呈现出明显的组织化特征。多个使用不同姓名和国籍的账号之间,存在重复使用相同或相似密码的情况。
Logpresso首席执行官(CEO)Yang Bong-yeol表示,朝鲜IT人员伪造身份入职,已不只是获取外汇的手段,还可能成为企业遭受网络攻击的初始入口,进而接触企业内部系统、源代码仓库和云资产。他指出,一旦这些人员以“合法开发者”身份获得内部访问权限,后续就有可能进一步演变为供应链攻击、信息窃取等更大范围的安全威胁。
记者信息
Hwang Chi-gyu
delight@d-today.co.kr