Північнокорейські зловмисники щойно запустили складну схему рекрутингу, спрямовану на розробників. Рекрутери Fake Fireblocks. Співбесіди з легітимним виглядом. Шкідливе ПЗ, замасковане під завдання з програмування. Наша команда безпеки це виявила, порушила роботу, і ось як це працювало. 🧵

Структура була переконливою: профілі LinkedIn з реалістичними історіями роботи, професійно відформатовані PDF-файли, детальні дошки Figma та заплановані інтерв'ю в Google Meet. Очевидних помилок немає. Немає жодних тривожних сигналів, які зазвичай очікуєш від спроб фішингу. Це було інакше.

Кандидатів просили клонувати репозиторій GitHub і запускати встановлення npm для «завдання з перегляду коду». Стандартний робочий процес розробника. Нічого підозрілого. Але команди налаштування запускали запуск шкідливого ПЗ. Класичний шаблон Contagious Interview з APT 38.