Hackers norte-coreanos atacaram mais de 3.100 endereços IP ligados a inteligência artificial, criptomoedas e finanças usando falsas entrevistas de emprego

Após terem desviado mais de 2 bilhões de dólares do mercado de criptomoedas em 2025, hackers norte-coreanos estão de volta com uma campanha falsa de recrutamento de empregos, executada por um grupo conhecido como PurpleBravo.

Hackers ligados à Coreia do Norte lançaram uma operação de espionagem cibernética contra mais de 3.100 endereços de internet associados a empresas de inteligência artificial, criptomoedas e serviços financeiros, de acordo com novas descobertas de inteligência de ameaças do Insikt Group, da Recorded Future. 

O grupo PurpleBravo foi identificado por utilizar processos fraudulentos de recrutamento de pessoal e ferramentas de desenvolvimento com software malicioso incorporado. Segundo avaliação do Insikt Group, até o momento foramdent20 organizações vítimas na Ásia Meridional, América do Norte, Europa, Oriente Médio e América Central. 

Coreia do Norte lança campanha de malware com entrevistas de recrutamento falsas 

Conforme explicado pelo Insikt Group, a campanha “Entrevista Contagiosa” utiliza agentes maliciosos que se fazem passar por recrutadores ou desenvolvedores e abordam candidatos a emprego com exercícios de entrevista técnica. Pelo menos 3.136 endereços IP individuais foram alvo da campanha durante o período de monitoramento, segundo os analistas de segurança.

Os atacantes se apresentaram como representantes de empresas de tecnologia e criptografia, solicitando que os candidatos revisassem códigos, clonassem repositórios ou realizassem tarefas de programação. 

“Em vários casos, é provável que candidatos a emprego tenham executado códigos maliciosos em dispositivos corporativos, criando uma exposição organizacional que vai além do alvo individual”, escreveu a empresa de inteligência de ameaças em seu relatório.

A operação possui diversos pseudônimos em informações privadas e de código aberto sobre hackers norte-coreanos, incluindo CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342, Void Dokkaebi e WaterPlum. 

O grupo de cibersegurança também mencionou que os hackers usaram a VPN Astrill e faixas de IP para administrar servidores de comando e controle baseados na China. Além disso, 17 provedores de serviços hospedaram malwares como BeaverTail e servidores GolangGhost para eles.

Atraindo vítimas com personas, GitHub e histórias de cobertura ucranianas

O Insikt Group identificou quatro perfis online ligados ao PurpleBravo, após uma investigação sobre repositórios maliciosos no GitHub , discussões em redes sociais sobre golpes com criptomoedas e um serviço de inteligência de redes de hackers.

Segundo o relatório, esses perfis se apresentavam consistentemente como residentes em Odessa, na Ucrânia, embora tivessem como alvo candidatos a emprego do sul da Ásia. A Insikt afirmou não ter conseguido determinar por quedentucranianas foram usadas no golpe. 

Em um dos programas falsos, hackers usaram um site que anunciava um token baseado em uma marca de alimentos. No entanto, os pesquisadores não conseguiram estabelecer uma conexão entre a moeda e a empresa mencionada. Golpistas, bots automatizados e links maliciosos infestam o canal oficial do projeto no Telegram. 

Além disso, a operação também envolveu dois trojans de acesso remoto relacionados, PylangGhost e GolangGhost. Essas famílias de malware são ferramentas multiplataforma que compartilham comandosdente automatizam o roubo dedente cookies do navegador.

O GolangGhost é compatível com diversos sistemas operacionais, mas o PylangGhost funciona apenas em sistemas Windows e consegue contornar a proteção dedentvinculada ao aplicativo do Chrome para a versão 127 e posteriores.

O grupo Insikt descobriu canais no Telegram anunciando contas do LinkedIn e do Upwork à venda, com os vendedores usando serviços de proxy como proxy-seller[.]com, powervps[.]net,dentialvps[.]com, lunaproxy[.]com e sms-activate[.]io, além de servidores virtuais privados (VPS), para ocultar suas localizações. O operador também foi visto interagindo com a plataforma de negociação de criptomoedas MEXC Exchange.

Backdoors do VS Code no Microsoft Visual Studio

Na segunda-feira, o Jamf Threat Labs relatou que agentes ligados à Coreia do Norte desenvolveram uma versão modificada do Microsoft Visual Studio Code capaz de encontrar backdoors em sistemas. A tática foidentpela primeira vez em dezembro de 2025 e, desde então, vem sendo aprimorada, afirmaram os analistas de segurança.

Segundo Thijs Xhaflaire, pesquisador de segurança da Jamf, os atacantes podem implantar malware que permite a execução remota de código em máquinas. A cadeia de infecção começa quando um alvo clona um repositório Git malicioso e o abre no VS Code.

“Quando o projeto é aberto, o Visual Studio Code solicita ao usuário que confie no autor do repositório. Se essa confiança for concedida, o aplicativomatico arquivo de configuração tasks.json do repositório, o que pode resultar na execução de comandos arbitrários incorporados no sistema”, escreveu.