Các tác nhân đe dọa từ Triều Tiên vừa thực hiện một trò lừa đảo tuyển dụng tinh vi nhắm vào các lập trình viên. Những người tuyển dụng giả mạo của Fireblocks. Các cuộc phỏng vấn trông hợp pháp. Phần mềm độc hại được ngụy trang dưới dạng bài tập lập trình. Đội ngũ an ninh của chúng tôi đã phát hiện, ngăn chặn nó, và đây là cách mà nó hoạt động. 🧵

Cách thiết lập thật thuyết phục: các hồ sơ LinkedIn với lịch sử công việc thực tế, các tài liệu PDF được định dạng chuyên nghiệp, các bảng Figma chi tiết và các cuộc phỏng vấn Google Meet đã được lên lịch. Không có lỗi chính tả rõ ràng. Không có dấu hiệu nào mà bạn thường mong đợi từ các nỗ lực lừa đảo. Điều này thì khác.

Các ứng viên được yêu cầu sao chép một repo GitHub và chạy npm install cho một "nhiệm vụ xem xét mã." Quy trình làm việc tiêu chuẩn của nhà phát triển. Không có gì đáng ngờ. Ngoại trừ việc các lệnh thiết lập đã kích hoạt việc thực thi phần mềm độc hại. Mô hình Phỏng vấn Lây nhiễm cổ điển từ APT 38.