Plataforma de 'vagas' ligada à Coreia do Norte usa isca para infectar desenvolvedores de IA | Cyber ataques

Pesquisadores da Validin descobriram uma plataforma falsa (lenvny[.]com) que reproduz processos de contratação para atrais desenvolvedores de IA e profissionais de cripto; o fluxo inclui gravação de vídeo e um passo de "consertar webcam" que instala malware. A campanha segue o padrão denominado "Contagious Interview"/"ClickFix".

Pesquisadores do setor identificaram uma operação sofisticada de recrutamento falso que mira desenvolvedores de inteligência artificial, engenheiros de software e profissionais de criptomoedas nos Estados Unidos por meio de uma plataforma de vagas que simula processos reais de contratação.

Descoberta e escopo

A Validin descreveu a campanha como uma variante da operação apelidada de "Contagious Interview". A plataforma fraudulenta, hospedada em lenvny[.]com, foi construída com React e Next.js e reproduz com alto grau de fidelidade fluxos de carreira e entrevistas, incluindo rotas dinâmicas e formulários que imitam páginas de empresas reais.

Mecanismo de ataque

Segundo a análise, os invasores iniciam o contato via LinkedIn e conduzem o candidato a um processo de entrevista que inclui gravação de respostas em vídeo. Em seguida, a vítima é instruída a "consertar a webcam" com uma ferramenta auxiliar — esse passo de suporte técnico entrega o payload malicioso ao sistema do alvo.

Por que alvos de IA e cripto?

As fontes explicam que profissionais de IA e criptomoedas são atraentes por terem acesso a propriedade intelectual (pesquisas, pesos de modelos, infra de inferência) ou a ambientes com ativos digitais de alto valor. Além disso, muitos mantêm estações com privilégios elevados e toolchains personalizados, aumentando a chance de execução de payloads.

Características da infraestrutura maliciosa

Site com aparência e fluxo de contratação modernos (React/Next.js).
Listagens de vagas dinâmicas e páginas de aplicação que imitam provedores legítimos.
Fluxo de entrevista com etapas que induzem a executar ferramentas locais.

Recomendações práticas

As recomendações extraídas das publicações e do trabalho da Validin são pragmáticas e aplicáveis tanto a candidatos quanto a empresas:

Verificar se páginas de carreira e formulários estão em domínios oficiais antes de enviar documentos;
Quando solicitado a executar código ou ferramentas, usar máquinas virtuais ou ambientes sandbox em vez do workstation principal;
Desconfiar de convites não solicitados via LinkedIn que peçam execução de utilitários locais ou instalação de software de suporte;
Times de segurança corporativa devem alertar recrutadores internos e incluir verificações de domínio e scanning de entregáveis de onboarding.

Limites do que se sabe

As análises públicas identificam o domínio lenvny[.]com e descrevem o padrão de infecção apelidado de "ClickFix". Entretanto, as fontes não divulgam uma lista pública de domínios relacionados, nem quantificam com precisão a quantidade de vítimas ou se houve coordenação com outras campanhas conhecidas além da atribuição indicativa a operações vinculadas à Coreia do Norte.

Contexto e implicações

Essa forma de engenharia social sofisticada representa uma evolução das iscas de recrutamento: em vez de páginas simples de phishing, os operadores entregam uma experiência completa de contratação para ganhar confiança e induzir ação perigosa. Organizações que trabalham com talentos sensíveis (IA, segurança, criptomoedas) devem adaptar programas de conscientização e estabelecer processos que verifiquem a origem de convites e ferramentas antes do uso.

As fontes ressaltam que a operação é convincente exatamente por reproduzir fluxos de contratação modernos; o poder da engenharia social aqui está na credibilidade visual e funcional do site.