Alerta: Hackers norte-coreanos estão atacando candidatos a vagas em cripto com malware

Candidatos a empregos no setor de criptomoedas viram alvo fácil para grupos de hackers patrocinados pela Coreia do Norte. A tática? Oferta de vagas falsas que infectam dispositivos com malware.

Como funciona o golpe:

Os criminosos se passam por recrutadores de empresas legítimas do setor, oferecendo oportunidades tentadoras. O link para 'entrevista' ou 'teste técnico' esconde código malicioso que rouba credenciais e drena carteiras digitais.

Setor em risco:

Com o mercado de cripto em alta em 2025, a demanda por profissionais qualificados disparou – e com ela, a ganância dos golpistas. Afinal, onde há dinheiro fácil (e otários), sempre aparece alguém querendo uma fatia.

Proteja-se:

Verifique triplamente qualquer oferta de emprego, desconfie de processos seletivos acelerados e nunca clique em links sem confirmar a autenticidade do remetente. Sua carteira de cripto agradece.

Talos segue o golpe e confirma uma conexão norte -coreana

🚨 𝗔𝗟𝗘𝗥𝗧: 𝗡𝗼𝗿𝘁𝗵 𝗞𝗼𝗿𝗲𝗮𝗻 𝗵𝗮𝗰𝗸𝗲𝗿𝘀 𝗮𝗿𝗲 𝘁𝗮𝗿𝗴𝗲𝘁𝗶𝗻𝗴 𝗯𝗹𝗼𝗰𝗸𝗰𝗵𝗮𝗶𝗻 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗮𝗹𝘀 𝘄𝗶𝘁𝗵 𝗻𝗲𝘄 𝗶𝗻𝗳𝗼-𝘀𝘁𝗲𝗮𝗹𝗶𝗻𝗴 𝗺𝗮𝗹𝘄𝗮𝗿𝗲

𝗗𝗶𝘀𝗴𝘂𝗶𝘀𝗲𝗱 𝗮𝘀 𝗳𝗮𝗸𝗲 𝗰𝗿𝘆𝗽𝘁𝗼 𝗷𝗼𝗯 𝘀𝗶𝘁𝗲𝘀 - 𝗯𝗲 𝗰𝗮𝗿𝗲𝗳𝘂𝗹… pic.twitter.com/wt4pe5o1zg

- Mayank Dudeja (@imcryptofreak) 20 de junho de 2025

A empresa de pesquisa de segurança cibernética Cisco Talos alegou que o novo Trojan de acesso remoto baseado em Python, chamado "Pylangghost", vinculou malware a um coletivo de hackers afiliado à Coréia do Norte chamado "Famous Chollima", também conhecido como "Wagemole".

A empresa também divulgou que o malware pylangghost era funcionalmente equivalente ao rato Golangghost anteriormente documentado, compartilhando muitos dos mesmos recursos. O famoso Chollima usou a variante baseada em Python para segmentar sistemas Windows, enquanto a versão Golang direcionou os usuários do MacOS. Os sistemas Linux foram excluídos desses ataques mais recentes.

Segundo Talos, o grupo de atores de ameaças está ativo desde 2024 por meio de várias campanhas bem documentadas. Essas campanhas incluíram o uso de variantes de entrevista contagiosa (também conhecida como Desenvolvimento Deceptivo) e criar anúncios falsos de emprego e páginas de teste de habilidades. Os usuários foram instruídos a copiar e colar (clickfix) uma linha de comando maliciosa para instalar os drivers necessários para conduzir o estágio final de teste de habilidade.  

Os candidatos no último esquema descobertos em maio foram instruídos a permitir o acesso à câmera para uma entrevista em vídeo e solicitado a copiar e executar comandos maliciosos disfarçados de instalações de driver de vídeo. Assim, eles acabaram usando o pylangghost em seus gadgets. A execução começou com o arquivo "nvidia.py", que executou várias tarefas: criou um valor do registro para iniciar o rato toda vez que um usuário conectado ao sistema, gerou um GUID para o sistema ser usado na comunicação com o comando e controle (C2), conectado ao servidor C2 e inseriu o comando Loop for Communication com o servidor.

De acordo com a Cisco Talos, “as instruções para baixar a suposta correção são diferentes com base na impressão digital do navegador, e também são fornecidas na linguagem de shell apropriada para o sistema operacional: PowerShell ou comando shell para Windows e bash para macOS”.

Talos observou que, além de roubar fundos diretamente de trocas, os famosos hackers de Chollima se concentraram recentemente em profissionais de criptografia para coletar informações e possivelmente se infiltrar em empresas de criptografia por dentro. No início deste ano, os hackers norte -coreanos estabeleceram empresas falsas dos EUA, BlockNovas LLC e Softglide LLC, para distribuir malware por meio de entrevistas fraudulentas de emprego antes que o FBI apreendesse o domínio Blocknovas.

A Coréia do Norte emerge como um centro para esquemas de hackers notórios

Em dezembro de 2024, o hack de capital radiante de US $ 50 milhões começou quando os atores da RPDC norte-coreana se apresentaram como ex-conquistas trac enviaram PDFs carregados de malware para os engenheiros. O (s) imitador (s) compartilhou um arquivo zip sob o pretexto de pedir feedback sobre um novo projeto em que estavam trabalhando.

A joint statement from Japan, South Korea, and the US also confirmed that North Korean-backed groups, including Lazarus, stole at least $659 million through multiple crypto heists in 2024. The envoys noted that North Korea's overseas workers, including IT specialists engaged in “malicious cyber activities,” were a major factor in the regime's ability to finance its weapons programs through the theft and laundering of funds, including crypto.

da Chayalysis de investigações confirmou que os hackers ligados à Coréia do Norte foram de longe os hackers de criptografia mais prolíficos nos últimos anos. Em 2022, eles quebraram seus próprios registros por roubo, roubando um valor estimado de US $ 1,7 bilhão em criptografia em vários hacks, contra US $ 428,8 milhões em 2021.

No entanto, em maio, a Crypto Exchange Kraken revelou que havia prejudicado com sucesso dent frustrou um operador norte -coreano que havia se candidatado a uma posição de TI. Kraken pegou o candidato quando eles falharam nos testes básicos dent durante as entrevistas.

Principais diferenças : os projetos de criptografia de ferramenta secreta usam para obter cobertura de mídia garantida