Profissionais de TI – Hackers ligados à Coreia do Norte supostamente estão por trás de uma nova ofensiva digital contra profissionais da área de tecnologia da informação. A ação, descrita em um relatório da empresa de cibersegurança Socket, expõe uma estratégia meticulosa: enganar desenvolvedores com promessas de emprego para, na verdade, instalar malwares e roubar informações sensíveis.
A campanha, batizada de Contagious Interview (“Entrevista Contagiosa”), teve início em abril deste ano e ganhou força em junho. Nela, os criminosos se passam por recrutadores no LinkedIn e abordam desenvolvedores com vagas aparentemente legítimas. Durante o suposto processo seletivo, os candidatos recebem arquivos de “teste técnico” que, na verdade, escondem códigos maliciosos.
LEIA: China apresenta novo trem-bala que alcança 450 km/h; veja
Esses arquivos são distribuídos por meio do npm Registry, plataforma popular entre programadores para compartilhamento de pacotes JavaScript. Ao inserir malwares nessa cadeia de distribuição, os hackers conseguem não apenas atingir a vítima inicial, mas também outros usuários que utilizam os mesmos pacotes – caracterizando um ataque à cadeia de suprimentos.
Segundo o levantamento, foram identificados 67 pacotes maliciosos introduzidos no npm, com mais de 17 mil downloads. Parte deles utiliza o malware conhecido como HexEval, enquanto outros implantam um novo programa, o XORIndex, que adota técnicas avançadas de camuflagem para escapar da detecção.
O XORIndex coleta dados como IP, nome do dispositivo, sistema operacional e localização, e os envia a servidores remotos. Em seguida, outros programas entram em ação, como o BeaverTail, que busca informações em navegadores, chaves do macOS e carteiras digitais, e o InvisibleFerret, um backdoor que mantém o acesso ao sistema comprometido.
Recomendações de especialistas
Mesmo após a remoção de diversos pacotes pela plataforma, os hackers seguem publicando novas versões com pequenas modificações para driblar os filtros de segurança. Até a última quinta-feira (17), 27 pacotes permaneciam ativos.
As ações são atribuídas ao Lazarus Group, grupo cibercriminoso associado ao governo norte-coreano, conhecido por ataques sofisticados e foco em espionagem e geração de receita ilícita.
O grupo adota táticas como nomes de pacotes similares aos originais e uso rotativo de contas e e-mails falsos para manter suas atividades em plataformas legítimas.
Especialistas alertam que a campanha deve continuar ativa, com novas variações do malware e técnicas mais sofisticadas. Diante desse cenário, a recomendação é que desenvolvedores e empresas redobrem a atenção, verifiquem cuidadosamente a origem dos pacotes utilizados e adotem medidas de monitoramento constante para prevenir infecções e vazamentos.
(Com informações de R7)
(Foto: Reprodução/Freepik/syda_productions)
