Hackers norte-coreanos têm desenvolvido métodos novos e cada vez mais sofisticados para roubar fundos cripto: reuniões no Zoom, escondendo malware em pacotes do GitHub e NPM, e estabelecendo entidades legais nos EUA, para citar apenas alguns.

Registrar uma empresa real é o método mais raro entre estes, e é o mais difícil. No entanto, os pesquisadores encontraram várias instâncias de atores de ameaça criando negócios nos EUA para atrair desenvolvedores de cripto e espalhar um código de roubo de dados.

Mais especificamente, de acordo com pesquisadores da empresa de segurança Silent Push, eles registraram as empresas Blocknovas LLC e Softglide LLC no Novo México e em Nova York usando identidades e endereços falsos. O relatório compartilhou uma lista das identidades falsas conectadas à campanha.

Fonte: Silent Push

Os pesquisadores descobriram outro negócio, Angeloper Agency, que tem conexões com este esquema. No entanto, este não parece estar registrado nos EUA. Dos três, Blocknovas é a empresa de fachada mais ativa, diz o relatório.

Notavelmente, Kasey Best, diretor de inteligência de ameaças da Silent Push, foi citado pela Reuters dizendo que, “este é um exemplo raro de hackers norte-coreanos realmente conseguindo criar entidades corporativas legais nos EUA para criar fachadas corporativas usadas para atacar candidatos a emprego desavisados.”

Além disso, este ataque é semelhante – e pode estar ligado – à tentativa de roubo de dados recentemente relatada por vários insiders da indústria cripto.

Nick Bax da Security Alliance, compartilhou no mês passado que um grupo de ameaças está trabalhando para roubar dados e fundos através de chamadas de negócios falsas no Zoom.

Tendo problemas de áudio na sua chamada do Zoom? Não é um VC, são hackers norte-coreanos.

Felizmente, este fundador percebeu o que estava acontecendo.

A chamada começa com alguns "VCs" na chamada. Eles enviam mensagens no chat dizendo que não conseguem ouvir seu áudio, ou sugerindo que há um… pic.twitter.com/ZnW8Mtof4F

— Nick Bax.eth (@bax1337) 11 de março de 2025

O objetivo dos atacantes é ‘simples.’ Atrair desenvolvedores de cripto e infectar seus dispositivos com software malicioso através de um link que eles enviam durante a entrevista. Eles podem estar fingindo ter problemas técnicos, por exemplo, e irão pedir ao alvo para clicar em um link.

Bax disse que o grupo de ameaça roubou “milhões de dólares” usando essa tática, e outros continuam a copiá-la.

Você também pode gostar

Grupo Lazarus Deposita 400 ETH no Tornado Cash, Hackers Alvo de Veteranos de Cripto no Zoom

Entrevistas Contagiosas e JavaScript Malicioso

A Silent Push afirma que o que encontrou é uma nova campanha. A entidade por trás dela é o grupo APT (ameaça persistente avançada) da Coreia do Norte ‘Entrevista Contagiosa.’ Este é um subgrupo do notório Grupo Lazarus patrocinado pelo estado.

Best disse à Reuters que as entrevistas de emprego “levam a implantações de malware sofisticadas para comprometer as carteiras de criptomoedas dos desenvolvedores.” Além disso, eles visam as senhas e credenciais dos desenvolvedores, possivelmente para usá-las em “novos ataques a empresas legítimas.”

De acordo com o relatório, a Silent Push confirmou “múltiplas vítimas” da mais recente campanha de entrevistas.

No entanto, o FBI apreendeu o domínio da Blocknovas “como parte de uma ação de aplicação da lei contra Atores Cibernéticos Norte-Coreanos que utilizaram este domínio para enganar indivíduos com anúncios de emprego falsos e distribuir malware.”

Os outros dois sites ainda estão operacionais no momento da escrita.

Mas isso não é tudo. Outra linha de ataque altamente sofisticada é inserir JavaScript malicioso em repositórios do GitHub e pacotes NPM.

Lazarus começou esta campanha em agosto de 2024, roubando fundos e dados através de ataques à cadeia de suprimentos. Além disso, este vetor de ataque está evoluindo.

Notavelmente, o malware, chamado Marstech1, tem como alvo carteiras cripto populares. Vários relatórios nomearam MetaMask, Exodus e Atomic.

A empresa de cibersegurança SecurityScorecard encontrou 233 vítimas que instalaram o implante Marstech1 entre setembro de 2024 e janeiro de 2025.

Você também pode gostar

Nova Campanha Maliciosa Alvo de Carteiras Atomic e Exodus

O post A Coreia do Norte Desenvolve Novos Métodos Mais Sofisticados para Alvo da Indústria Cripto apareceu primeiro em Cryptonews.