Северокорейская хакерская группа PurpleBravo представляет растущую угрозу для глобальной IT-индустрии через фиктивный рекрутинг

Кампания основана на фиктивных предложениях о работе. Злоумышленники создают поддельные личности рекрутёров и представителей компаний в LinkedIn, преимущественно из сферы криптовалют и IT. Они предлагают потенциальным жертвам, часто находящимся в Южной Азии, пройти техническое собеседование, которое включает выполнение реального кодинг-теста. Этот тест, однако, содержит вредоносный код, размещённый на GitHub. Жертвы, выполняя задание на своих корпоративных устройствах, невольно устанавливают вредоносное программное обеспечение, что ведёт к компрометации не только их личных данных, но и инфраструктуры их работодателей.

Согласно данным Recorded Future Network Intelligence, с августа 2024 по сентябрь 2025 года было идентифицировано 3136 индивидуальных IP-адресов, связанных с вероятными целями PurpleBravo. Активность была сконцентрирована в Южной Азии и Северной Америке. Аналитики также обнаружили двадцать потенциально пострадавших организаций в Европе, Южной Азии, на Ближнем Востоке и в Центральной Америке. Эти компании работают в сферах искусственного интеллекта, криптовалют, финансовых услуг, IT-аутсорсинга, маркетинга и разработки программного обеспечения.

Арсенал PurpleBravo включает в себя несколько специализированных вредоносных программ. BeaverTail - это JavaScript-информационный вор и загрузчик, предназначенный для сбора конфиденциальных данных. InvisibleFerret представляет собой кроссплатформенный троян удалённого доступа (RAT), написанный на Python, который крадёт учётные данные браузеров и файлы окружения. Кроме того, группа использует мультиплатформенные RAT PyLangGhost и GolangGhost, оптимизированные для кражи данных из браузеров и криптовалютных кошельков. GolangGhost, основанный на открытом инструменте HackBrowserData, обеспечивает широкое покрытие операционных систем. В то же время PyLangGhost сфокусирован исключительно на Windows и обладает усовершенствованными возможностями для обхода усиленной защиты учётных данных в последних версиях Chrome.

Инфраструктура управления и контроля (C2) группы распределена по семнадцати различным хостинг-провайдерам. Администрирование серверов C2 часто осуществляется через узлы VPN-сервиса Astrill, что также характерно для другой северокорейской группы, известной как PurpleDelta. Последняя занимается нелегальным трудоустройством IT-специалистов в зарубежные компании. Insikt Group, исследовательское подразделение Recorded Future, документально зафиксировало несколько точек пересечения между PurpleBravo и PurpleDelta. В частности, был выявлен оператор PurpleBravo, чья активность полностью соответствовала поведению сотрудника PurpleDelta, включая использование специфических инструментов и инфраструктуры. Это указывает на то, что некоторые индивиды могут быть задействованы в обеих операциях.

Эксперты подчёркивают, что PurpleBravo представляет собой недооценённую угрозу для глобальной IT-индустрии. Поскольку многие цели группы работают в компаниях, предоставляющих IT-услуги и услуги аутсорсинга персонала, компрометация таких организаций может привести к каскадному заражению их клиентов. Таким образом, кампания создаёт острый риск для безопасности цепочек поставок программного обеспечения, особенно для компаний, которые передают разработку на аутсорсинг в регионы, где PurpleBravo наиболее активна.

Для противодействия угрозе специалисты по безопасности рекомендуют организациям ужесточить политики использования личных устройств для работы, особенно для разработчиков. Кроме того, необходимо внедрять сканирование стороннего кода, повышать осведомлённость сотрудников о фишинговых схемах, маскирующихся под рекрутинг, и активно отслеживать технические индикаторы компрометации, связанные с инструментарием PurpleBravo. Учитывая высокий операционный темп группы и её успехи, ожидается, что данная кампания будет продолжаться и в ближайшем будущем.

IPv4

• 103.111.113.26
• 103.125.234.107
• 103.125.234.161
• 103.125.234.210
• 103.125.234.62
• 103.130.145.210
• 103.157.217.145
• 103.16.228.16
• 103.172.26.58
• 103.214.44.138
• 103.50.33.16
• 103.6.219.221
• 104.168.14.206
• 104.223.63.2
• 104.223.87.12
• 104.250.131.79
• 104.250.148.58
• 107.150.38.250
• 107.167.244.42
• 107.167.25.130
• 107.172.97.67
• 107.189.24.80
• 108.181.41.234
• 118.107.244.171
• 125.227.75.208
• 125.227.80.190
• 125.227.82.145
• 125.227.90.115
• 129.232.193.253
• 134.195.197.175
• 14.37.47.13
• 142.214.202.2
• 144.172.100.124
• 144.172.100.142
• 144.172.102.148
• 144.172.102.21
• 144.172.103.97
• 144.172.104.113
• 144.172.105.189
• 144.172.105.235
• 144.172.106.133
• 144.172.106.7
• 144.172.109.155
• 144.172.109.98
• 144.172.112.106
• 144.172.95.226
• 146.70.253.107
• 147.124.197.138
• 147.124.212.125
• 147.124.213.19
• 147.124.213.232
• 147.124.214.129
• 147.124.214.131
• 147.124.214.237
• 151.243.101.229
• 154.58.204.15
• 154.62.226.22
• 155.94.199.59
• 158.255.76.195
• 158.62.198.177
• 162.251.62.70
• 162.251.70.66
• 165.140.85.105
• 165.140.86.154
• 165.140.86.160
• 165.140.86.181
• 165.140.86.227
• 166.0.190.170
• 167.160.181.2
• 167.88.61.117
• 167.88.61.148
• 169.38.75.87
• 169.38.98.22
• 170.178.177.178
• 172.86.109.49
• 172.86.113.115
• 172.86.116.90
• 172.86.123.55
• 172.86.73.198
• 172.96.141.172
• 173.211.70.246
• 173.232.230.137
• 173.254.200.134
• 176.222.52.77
• 178.159.7.34
• 178.175.128.98
• 185.135.76.115
• 185.135.76.89
• 185.152.67.39
• 185.183.104.67
• 185.245.80.217
• 185.65.205.130
• 192.119.10.67
• 192.161.60.132
• 192.74.247.161
• 193.19.205.26
• 194.33.45.162
• 195.146.5.31
• 198.2.228.23
• 198.23.148.18
• 199.168.112.175
• 199.168.113.31
• 202.87.221.237
• 204.152.202.111
• 204.44.96.131
• 205.234.203.122
• 206.206.127.135
• 206.206.127.80
• 208.115.228.234
• 208.98.44.2
• 209.127.228.186
• 211.21.6.136
• 211.21.6.181
• 211.22.147.226
• 211.22.184.184
• 211.72.116.247
• 211.72.35.109
• 211.72.35.118
• 211.75.42.136
• 211.75.74.223
• 212.129.10.242
• 212.81.47.217
• 216.126.229.166
• 216.227.145.218
• 216.45.56.2
• 217.138.212.194
• 23.104.209.6
• 23.106.161.1
• 23.106.169.120
• 23.106.70.154
• 23.160.56.155
• 23.227.202.244
• 23.228.120.12
• 23.237.102.130
• 23.237.33.110
• 31.57.243.190
• 31.57.243.29
• 31.57.243.55
• 31.7.63.94
• 37.120.151.162
• 37.120.154.98
• 37.120.210.2
• 38.134.148.218
• 38.146.28.177
• 38.170.181.10
• 38.246.149.2
• 38.32.68.195
• 38.75.136.211
• 38.75.137.213
• 38.75.137.97
• 38.92.47.118
• 38.92.47.151
• 38.92.47.152
• 38.92.47.155
• 38.92.47.85
• 38.92.47.91
• 43.230.201.57
• 43.230.201.68
• 45.126.210.144
• 45.145.68.10
• 45.250.255.140
• 45.250.255.59
• 45.43.11.201
• 45.59.163.23
• 45.59.163.56
• 45.61.128.61
• 45.61.133.110
• 45.61.135.4
• 45.61.150.30
• 45.61.160.28
• 45.61.165.45
• 45.86.208.162
• 5.42.206.34
• 50.118.211.10
• 50.2.184.50
• 50.7.159.34
• 50.7.251.66
• 51.195.140.214
• 60.234.42.250
• 60.249.92.67
• 61.218.132.193
• 61.218.138.181
• 61.219.114.7
• 61.221.116.109
• 61.221.116.19
• 61.221.116.28
• 63.143.61.57
• 63.176.219.134
• 64.32.17.130
• 66.115.157.242
• 66.150.196.58
• 66.187.75.186
• 66.235.168.17
• 66.235.168.232
• 66.235.168.238
• 66.235.175.109
• 66.235.175.117
• 67.203.7.163
• 67.203.7.200
• 67.203.7.205
• 67.43.48.10
• 67.43.49.10
• 67.43.54.10
• 70.36.99.82
• 74.222.14.74
• 74.222.14.83
• 74.63.233.50
• 77.247.126.189
• 80.90.48.191
• 82.103.129.80
• 82.223.120.180
• 84.17.38.140
• 84.17.41.94
• 85.195.119.90
• 85.195.72.66
• 88.218.0.78
• 89.163.154.155
• 89.187.161.180
• 89.187.161.220
• 89.187.185.11
• 91.207.174.99
• 91.207.206.10
• 91.221.66.87
• 91.239.130.102
• 94.46.23.20
• 95.143.193.150
• 95.216.14.148