Gli hacker nordcoreani hanno colpito oltre 3.100 indirizzi IP collegati ad intelligenza artificiale, criptovalute e finanza utilizzando falsi colloqui di lavoro

Dopo aver sottratto oltre 2 miliardi di dollari al mercato delle criptovalute nel 2025, gli hacker nordcoreani sono tornati con una falsa campagna di reclutamento portata avanti da un gruppo noto come PurpleBravo.

Secondo le nuove scoperte di threat intelligence di Insikt Group di Recorded Future, hacker legati alla Corea del Nord hanno avviato un'attività di spionaggio informatico su oltre 3.100 indirizzi Internet collegati ad aziende operanti nei settori dell'intelligenza artificiale, delle criptovalute e dei servizi finanziari. 

PurpleBravo è stato individuato mentre utilizzava processi di reclutamento fraudolenti e strumenti di sviluppo con software dannoso. Secondo la valutazione di Insikt Group, finora sono statedent20 organizzazioni vittime provenienti da Asia meridionale, Nord America, Europa, Medio Oriente e America Centrale. 

La Corea del Nord lancia una campagna malware per falsi colloqui di reclutamento 

Come spiegato da Insikt Group, la campagna "Colloquio Contagioso" vede protagonisti malintenzionati che si spacciano per reclutatori o sviluppatori e contattano i candidati con test tecnici di colloquio. Secondo gli analisti della sicurezza, durante il periodo di monitoraggio sono stati presi di mira almeno 3.136 indirizzi IP.

Gli aggressori si sono presentati come rappresentanti di aziende di criptovalute e tecnologia, chiedendo ai candidati di rivedere il codice, clonare repository o completare attività di codifica. 

"In diversi casi, è probabile che i candidati in cerca di lavoro abbiano eseguito codice dannoso sui dispositivi aziendali, creando un'esposizione organizzativa che va oltre il singolo obiettivo", ha scritto la società di intelligence sulle minacce nel suo rapporto.

L'operazione ha diversi alias sia in informazioni private che open source sugli hacker nordcoreani, tra cui CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi e WaterPlum. 

Il gruppo di sicurezza informatica ha anche affermato che gli hacker hanno utilizzato la VPN e gli intervalli IP di Astrill per amministrare server di comando e controllo con sede in Cina. Nel frattempo, 17 provider di servizi ospitavano malware come i server BeaverTail e GolangGhost per loro conto.

Adescare le vittime con personaggi, GitHub e storie di copertura ucraine

Insikt Group ha individuato quattro profili online collegati a PurpleBravo, in seguito a un'indagine su GitHub , discussioni sui social media su truffe legate alle criptovalute e un servizio di intelligence sulla rete di hacking.

Secondo il rapporto, questi profili si presentavano sistematicamente come residenti a Odessa, in Ucraina, mentre prendevano di mira persone in cerca di lavoro provenienti dall'Asia meridionale. Insikt ha affermato di non essere in grado di determinare perché ledentucraine fossero utilizzate nell'inganno. 

In uno dei programmi fasulli, gli hacker hanno utilizzato un sito web che pubblicizzava un token basato su un marchio alimentare. Tuttavia, i ricercatori non sono riusciti a stabilire una connessione tra la moneta e l'azienda a cui faceva riferimento. Truffatori, bot automatici e link dannosi infestano il canale Telegram ufficiale del progetto. 

Inoltre, l'operazione ha coinvolto anche due trojan di accesso remoto correlati, PylangGhost e GolangGhost. Le famiglie di malware sono strumenti multipiattaforma che condividono comandidente automatizzano il furto didentdel browser e cookie.

GolangGhost è compatibile con diversi sistemi operativi, ma PylangGhost funziona solo sui sistemi Windows e può aggirare la protezione delledentvincolata all'app di Chrome per la versione 127 e successive.

Insikt Group ha scoperto canali Telegram che pubblicizzavano account LinkedIn e Upwork in vendita, con i venditori che utilizzavano servizi proxy come proxy-seller[.]com, powervps[.]net,dent[.]com, lunaproxy[.]com e sms-activate[.]io, oltre a server privati ​​virtuali per nascondere la propria posizione. L'operatore è stato anche visto interagire con la piattaforma di trading di criptovalute MEXC Exchange.

Backdoor di VS Code su Microsoft Visual Studio

Lunedì, Jamf Threat Labs ha riferito che alcuni criminali legati alla Corea del Nord hanno sviluppato una versione modificata di Microsoft Visual Studio Code in grado di individuare backdoor nei sistemi. La tattica è statadentper la prima volta nel dicembre 2025 e da allora è stata perfezionata, hanno affermato gli analisti della sicurezza.

Secondo Thijs Xhaflaire, ricercatore di sicurezza di Jamf, gli aggressori possono impiantare malware che consentono l'esecuzione di codice remoto sui computer. La catena di infezione inizia quando un bersaglio clona un repository Git dannoso e lo apre in VS Code.

"Quando si apre il progetto, Visual Studio Code chiede all'utente di autorizzare l'autore del repository. Se l'autorizzazione viene concessa, l'applicazionematicThijs Xhaflaire ha scritto.