PANews는 1월 22일, 크립토폴리탄(Cryptopolitan)을 인용하여 보안 회사 레코더드 퓨처(Recorded Future)의 새로운 연구 결과를 보도했습니다. 이 연구에 따르면 북한과 연계된 해킹 그룹 퍼플브라보(PurpleBravo)가 인공지능, 암호화폐, 금융 서비스 분야 기업의 3,100개 이상의 IP 주소를 대상으로 가짜 채용 면접을 이용한 사이버 스파이 활동을 벌였습니다. 이들은 채용 담당자나 개발자를 사칭하여 기술 면접을 핑계로 악성 코드를 실행하도록 유도했습니다. 공격자들은 암호화폐 또는 기술 회사 직원인 척하며 구직자들에게 코드 검토, 저장소 복제, 프로그래밍 작업 완료 등을 요구했습니다. 보안 연구원들은 남아시아, 북미 및 기타 지역에서 20개 피해 기업을 확인했습니다.

해당 그룹은 여러 개의 가명을 사용하고 우크라이나 오데사에 거주하는 것처럼 위장했습니다. 공격에는 PylangGhost 및 GolangGhost와 같은 원격 접속 트로이목마가 사용되었는데, 이 악성 프로그램은 자동으로 브라우저 자격 증명과 쿠키를 탈취했습니다. 또한 해커들은 악성 GitHub 저장소, Astrill VPN, 그리고 17개의 서비스 제공업체를 통해 악성코드 서버를 운영했습니다. 더 나아가 조사 결과 LinkedIn 및 Upwork 계정을 판매하는 관련 Telegram 채널이 발견되었으며, 공격자들은 암호화폐 거래소 MEXC Exchange와도 상호 작용한 것으로 드러났습니다.