Recrutadores falsos da Coreia do Norte usam desafios de código para infectar desenvolvedores
Uma nova variação da campanha de recrutadores falsos, atribuída a atores de ameaças norte-coreanos, está visando desenvolvedores de JavaScript e Python com tarefas relacionadas a criptomoedas. A campanha, que já foi documentada anteriormente, agora incorpora desafios de codificação maliciosos para distribuir malware.
O vetor da campanha
A campanha se inicia com mensagens de recrutamento enviadas a desenvolvedores, oferecendo oportunidades de trabalho em projetos de criptomoedas. Para avaliar as habilidades dos candidatos, os atores enviam um "desafio técnico" que consiste em um arquivo de código-fonte. Esse arquivo, no entanto, contém código malicioso projetado para comprometer a máquina do desenvolvedor.
Mecanismo de infecção
O código fornecido nos desafios é funcional e executa a tarefa solicitada, mas também inclui componentes ocultos que baixam e executam payloads maliciosos. A técnica visa contornar a desconfiança, pois o desenvolvedor espera executar código como parte de um teste legítimo. O malware resultante pode ser usado para roubo de credenciais, espionagem ou como ponto de entrada para ataques mais amplos.
Alvos e motivação
O foco em desenvolvedores de JavaScript e Python sugere um interesse em indivíduos com habilidades relevantes para o ecossistema de criptomoedas e fintech. A atribuição à Coreia do Norte aponta para motivações financeiras, alinhadas com campanhas anteriores do grupo Lazarus e outros, que buscam gerar receita para o regime através de criptomoedas roubadas.
Recomendações de segurança
Especialistas recomendam que desenvolvedores sejam extremamente cautelosos ao executar código de fontes não verificadas, mesmo em contextos de recrutamento. A execução em ambientes isolados (sandbox) ou máquinas virtuais descartáveis é aconselhada. Empresas também devem educar seus times sobre essa tática, incorporando verificações de segurança em seus processos de contratação técnica.
Esta campanha ilustra a evolução contínua das táticas de engenharia social, onde os atores de ameaças exploram processos profissionais comuns para ganhar acesso. A sofisticação reside na legitimidade superficial do vetor, tornando a vigilância e a educação os principais meios de defesa.