Nova campanha de recrutamento falso da Coreia do Norte ataca desenvolvedores
Uma nova variação da campanha de recrutamento falso, atribuída a atores de ameaça da Coreia do Norte, está focando em desenvolvedores de JavaScript e Python com tarefas relacionadas a criptomoedas. Desde maio de 2025, essa atividade se caracteriza pela modularidade, permitindo que os atacantes retomem rapidamente as operações após uma possível comprometimento. Os criminosos utilizam pacotes publicados nos repositórios npm e PyPi como downloaders para um trojan de acesso remoto (RAT). Pesquisadores identificaram 192 pacotes maliciosos, nomeados ‘Graphalgo’, que se disfarçam como ofertas de emprego em empresas fictícias do setor de blockchain e comércio de criptomoedas. Os desenvolvedores que se candidatam são induzidos a executar códigos que instalam dependências maliciosas em seus sistemas. Um exemplo notável é o pacote ‘bigmathutils’, que, após 10.000 downloads, introduziu cargas maliciosas em sua versão 1.1.0. A campanha é atribuída ao grupo Lazarus, com base em sua abordagem e no foco em criptomoedas, além de evidências de que os commits no GitHub seguem o fuso horário da Coreia do Norte. Os desenvolvedores que instalaram esses pacotes devem rotacionar tokens e senhas de conta e reinstalar seus sistemas operacionais.