Północnokoreańscy aktorzy zagrożeń właśnie przeprowadzili wyrafinowany scam rekrutacyjny, celując w programistów. Fałszywi rekruterzy Fireblocks. Wyglądające na legitne rozmowy kwalifikacyjne. Złośliwe oprogramowanie przebrane za zadania programistyczne. Nasz zespół ds. bezpieczeństwa to wykrył, zakłócił, a oto jak dokładnie to działało. 🧵

Ustawienie było przekonujące: profile LinkedIn z realistycznymi historiami zawodowymi, profesjonalnie sformatowane pliki PDF, szczegółowe tablice Figma i zaplanowane rozmowy w Google Meet. Brak oczywistych błędów. Żadne czerwone flagi, których normalnie można by się spodziewać w przypadku prób phishingowych. To było inne.

Kandydaci zostali poproszeni o sklonowanie repozytorium GitHub i uruchomienie npm install w ramach "zadania przeglądu kodu." Standardowy proces pracy dewelopera. Nic podejrzanego. Jednak polecenia konfiguracyjne uruchomiły wykonanie złośliwego oprogramowania. Klasyczny wzór zaraźliwego wywiadu od APT 38.