Ator ameaçador da Coreia do Norte acabou de executar um sofisticado golpe de recrutamento direcionado a desenvolvedores. Recrutadores falsos da Fireblocks. Entrevistas com aparência legítima. Malware disfarçado como tarefas de programação. Nossa equipe de segurança detectou, interrompeu e aqui está exatamente como funcionou. 🧵

A configuração era convincente: perfis do LinkedIn com histórias de trabalho realistas, PDFs formatados profissionalmente, quadros detalhados do Figma e entrevistas agendadas no Google Meet. Sem erros de digitação óbvios. Sem bandeiras vermelhas que normalmente se esperaria de tentativas de phishing. Isto era diferente.

Os candidatos foram convidados a clonar um repositório do GitHub e executar npm install para uma "tarefa de revisão de código." Fluxo de trabalho padrão de desenvolvedor. Nada suspeito. Exceto que os comandos de configuração acionaram a execução de malware. Padrão clássico de Entrevista Contagiosa do APT 38.