Atores de ameaça norte-coreanos acabaram de executar um golpe sofisticado de recrutamento direcionado aos desenvolvedores. Recrutadores falsos de Fireblocks. Entrevistas que parecem legítimas. Malware disfarçado de tarefas de programação. Nossa equipe de segurança detectou, interrompeu, e foi exatamente assim que funcionou. 🧵

A configuração era convincente: perfis no LinkedIn com históricos profissionais realistas, PDFs formatados profissionalmente, quadros detalhados do Figma e entrevistas agendadas no Google Meet. Sem erros óbvios. Nenhum sinal de alerta que normalmente se espera de tentativas de phishing. Isso era diferente.

Os candidatos foram solicitados a clonar um repositório do GitHub e rodar a instalação do npm para uma "tarefa de revisão de código". Fluxo de trabalho padrão para desenvolvedores. Nada suspeito. Exceto que os comandos de configuração acionaram a execução do malware. Padrão clássico de entrevista contagiosa do APT 38.