Nordkoreanske trusselaktører kjørte nettopp en sofistikert rekrutteringssvindel rettet mot utviklere. Falske Fireblocks-rekrutterere. Intervjuer som ser legitime ut. Skadelig programvare forkledd som kodeoppgaver. Sikkerhetsteamet vårt oppdaget det, forstyrret det, og her er nøyaktig hvordan det fungerte. 🧵

Oppsettet var overbevisende: LinkedIn-profiler med realistiske arbeidshistorikker, profesjonelt formaterte PDF-er, detaljerte Figma-tavler og planlagte Google Meet-intervjuer. Ingen åpenbare skrivefeil. Ingen røde flagg man vanligvis forventer fra phishing-forsøk. Dette var annerledes.

Kandidatene ble bedt om å klone et GitHub-repo og kjøre npm-installasjon for en «kodegjennomgangsoppgave». Standard arbeidsflyt for utviklere. Ingenting mistenkelig. Bortsett fra at oppsettskommandoene utløste kjøring av skadelig programvare. Klassisk smittsomt intervjumønster fra APT 38.