Des acteurs malveillants nord-coréens viennent de lancer une arnaque de recrutement sophistiquée ciblant des développeurs. Des recruteurs Fireblocks fictifs. Des entretiens ayant l'air légitimes. Des logiciels malveillants déguisés en missions de codage. Notre équipe de sécurité l'a détectée, a perturbé le processus, et voici exactement comment cela a fonctionné. 🧵

La mise en place était convaincante : des profils LinkedIn avec des parcours professionnels réalistes, des PDF au format professionnel, des tableaux Figma détaillés et des entretiens Google Meet programmés. Pas de fautes d'orthographe évidentes. Aucun signal d'alerte que l'on attendrait normalement des tentatives de phishing. C'était différent.

Les candidats ont été invités à cloner un dépôt GitHub et à exécuter npm install pour une "tâche de révision de code." Flux de travail standard pour les développeurs. Rien de suspect. Sauf que les commandes de configuration ont déclenché l'exécution de logiciels malveillants. Modèle classique d'entretien contagieux d'APT 38.