Nordkoreanische Bedrohungsakteure haben gerade einen ausgeklügelten Rekrutierungsbetrug gestartet, der sich gegen Entwickler richtet. Falsche Fireblocks-Rekruter. Legitim aussehende Interviews. Malware, die sich als Programmieraufgaben tarnt. Unser Sicherheitsteam hat es entdeckt, gestoppt, und hier ist genau, wie es funktioniert hat. 🧵

Die Einrichtung war überzeugend: LinkedIn-Profile mit realistischen Berufshistorien, professionell formatierte PDFs, detaillierte Figma-Boards und geplante Google Meet-Interviews. Keine offensichtlichen Tippfehler. Keine roten Flaggen, die man normalerweise von Phishing-Versuchen erwarten würde. Das war anders.

Die Kandidaten wurden gebeten, ein GitHub-Repo zu klonen und npm install für eine "Code-Review-Aufgabe" auszuführen. Standard-Entwickler-Workflow. Nichts Verdächtiges. Außer dass die Setup-Befehle die Ausführung von Malware auslösten. Klassisches ansteckendes Interview-Muster von APT 38.