• Entrevistas de Emprego Falsas: Hackers norte-coreanos se passam por RH da Coinbase, Uniswap, usando o LinkedIn para atrair profissionais de cripto para armadilhas de malware.

  • Implantação de Malware PylangGhost: As vítimas instalam trojans disfarçados como drivers de câmera, expondo o MetaMask e mais de 80 gerenciadores de senhas ao roubo de credenciais e vigilância.

  • Contaminação da Cadeia de Suprimentos: Hackers infiltram repositórios inativos do GitHub e pacotes NPM, visando desenvolvedores enquanto mantêm estratégias de penetração empresarial de longo prazo.

Hackers norte-coreanos usam entrevistas de emprego falsas da Coinbase, Uniswap para implantar o malware PylangGhost. Alvos carteiras de trabalhadores de cripto através de engenharia social sofisticada e ataques à cadeia de suprimentos.

Um convite falso para entrevista da Coinbase poderia zerar suas economias de vida. Isso não é ficção científica. É a verdadeira ameaça que os candidatos a empregos em cripto enfrentarão em 2025.

 

CORE DO EVENTO DE ATAQUE: TROJAN “PYLANGGHOST” DISFARÇADO DE RECRUTAMENTO

 

Análise Completa do Método de Ataque

 

Phishing de Precisão: Hackers se passam por representantes de RH de empresas líderes como Coinbase e Uniswap. Eles contatam alvos através do LinkedIn e outras plataformas profissionais. Eles oferecem posições bem remuneradas e direcionam as vítimas para sites realistas de testes de habilidades.

 

Orientação Maliciosa: Os atacantes exigem que as vítimas gravem “vídeos de entrevista”. Eles afirmam que as vítimas precisam “instalar drivers de câmera”. Eles enganam os usuários para copiar e colar comandos maliciosos no terminal. Esse processo aciona downloads de trojans.

 

Roubo de Dados: O trojan PylangGhost, escrito em Python, infiltra sistemas automaticamente. Ele rouba credenciais do MetaMask, 1Password e mais de 80 gerenciadores de senhas e plugins de carteira. O malware também extrai cookies e dados de extensões de navegador.

 

Métodos de Ocultação Técnica

 

O trojan cria entradas de inicialização persistentes por meio de modificações no registro. Ele se conecta a servidores C2 criptografados em RC4 com chaves em texto claro que são altamente ofuscadas. Essa abordagem evita métodos de detecção padrão.

 

O design modular suporta execução remota de comandos e monitoramento de tela. Isso possibilita atividades de penetração subsequentes. Isso cria uma cadeia de ataque completa.

 

INFILTRAÇÃO “PROFISSIONAL” DOS HACKERS NORTE-COREANOS: DE EMPRESAS DE FACHADA A PENETRAÇÃO INTERNA

 

Estrutura Organizacional Industrializada

 

Empresas de Fachada Multinacionais: Hackers registram empresas de fachada como Blocknovas LLC e Softglide LLC no Novo México e em Nova York. Eles fabricam endereços de escritórios. Por exemplo, endereços de registro da Carolina do Sul acabam sendo deserto. Eles publicam anúncios de emprego falsos através dessas entidades.

 

Sistemas de Roubo de Identidade: Atacantes usam carteiras de motorista forjadas com erros de endereço que chegam a 300 milhas. Eles roubam credenciais de universidades prestigiadas, como diplomas de ciência da computação da NYU. Eles até realizam sessões de “treinamento para entrevistas” para diminuir a suspeita das vítimas.

 

Casos de Infiltração Documentados

 

Intrusão em Exchange Falhada: Em junho de 2025, um hacker se passou por “Steven Smith” ao se candidatar a uma posição de TI da Kraken. O atacante alegou ter dez anos de experiência de trabalho na Cisco. As autoridades detectaram a fraude devido a contradições nos endereços das carteiras de motorista.

 

Extorsão de Lurking de Longo Prazo: Relatórios da Secureworks mostram que trabalhadores de TI norte-coreanos infiltram empresas europeias e americanas através de posições remotas. Em quatro meses, eles roubam dados e exigem pagamentos de resgate. Os fundos acabam fluindo para programas de armas norte-coreanas.

 

Escala e Lucros

 

As Nações Unidas estimam que a Coreia do Norte ganha entre $250-600 milhões anualmente através de esquemas de emprego fraudulentos. Esses lucros apoiam programas nucleares e atividades de hacking.

 

EXPANSÃO DO ESCOPO DO ATAQUE: DE CANDIDATOS A EMPREGO A ECOSSISTEMAS DE CÓDIGO ABERTO

 

Novas Estratégias de Contaminação da Cadeia de Suprimentos

 

Sequestro de Repositórios Inativos: O desenvolvedor norte-coreano “AhegaoXXX” controlou contas de ex-engenheiros do protocolo Waves. Eles empurraram atualizações maliciosas para repositórios do Keeper-Wallet inativos. O código é projetado para roubar frases mnemônicas e chaves privadas.

 

Envenenamento de Pacote NPM: Atacantes publicaram seis pacotes NPM maliciosos há muito desatualizados. Esses visam especificamente usuários que estão atualizando carteiras. Isso expõe vulnerabilidades de gerenciamento de permissões em comunidades de código aberto.

 

Coordenação de Ataque Cross-platform

 

Além dos campos de cripto, hackers simultaneamente visam jogadores de Minecraft. Eles distribuem módulos de trapaça contendo stealers. Esses módulos ativam apenas ao detectar ambientes de jogo. Isso demonstra forte precisão de alvo.

 

GUIA DE DEFESA: COMO AS EMPRESAS CONSTROEM “FIREWALLS ANTI-INFILTRAÇÃO”

 

Pontos de Proteção Pessoal

 

Verificação de Identidade Tripla:

  • Exigir entrevistas em vídeo com verificação de credenciais em tempo real, como comparar endereços de carteiras de motorista com geolocalização de IP

  • Verifique informações de registro da empresa, realidade do escritório e avaliações de funcionários. Empresas de fachada frequentemente não têm locais de escritório reais.

  • Ambiente de Teste Isolado: Execute “testes técnicos” solicitados por recrutadores em máquinas virtuais ou dispositivos de backup. Essa abordagem evita expor ambientes principais.

 

Atualizações de Controle de Risco Empresarial

 

Auditorias de Integração: Candidatos a posições remotas devem passar por “detecção de comportamentos anormais”. Isso inclui mudar frequentemente contas salariais ou recusar habilitar câmeras. Estabeleça mecanismos internos de relatório para investigar referenciadores relacionados. Hackers norte-coreanos frequentemente fornecem endossos falsos uns para os outros.

 

Gerenciamento Dinâmico de Permissões: Limite o acesso de novos funcionários ao código principal e sistemas financeiros. Implemente processos de autorização em fases.

 

Recomendações de Reforço Técnico

 

Sugestões de Uso de Carteira:

  • Armazene grandes ativos em carteiras de hardware conectadas apenas a dispositivos limpos

  • Desative funções de “preenchimento automático” em carteiras de plugins de navegador e limpe os cookies regularmente

  • Defina limites de autorização independentes para cada transação

 

Proteção do Repositório de Código Empresarial:

  • Limpe contas de colaboradores inativos e limite permissões de redirecionamento de repositório

  • Exija escaneamento de segurança para atualizações de dependências usando ferramentas como Snyk ou Fortify

 

REFLEXÃO DA INDÚSTRIA: QUANDO OS ATAQUES SE TORNAM “ESTRATÉGIA NACIONAL,” A DEFESA COLABORATIVA É O ÚNICO CAMINHO

 

“Os hackers não trabalham mais sozinhos. Eles constroem cadeias de suprimentos com recursos de nível estatal. A defesa exige a mesma escala.” – Diretor de Segurança da Kraken, Nick Percoco

 

Tendências de Defesa Colaborativa

 

Defesa da Aliança de Exchanges: A Kraken realiza ativamente “infiltração reversa” contra atacantes. Eles compartilham características de identidade de hackers e impressões digitais de ataques. Isso constrói listas negras em toda a indústria.

 

Atualizações Técnicas da Lei: O Departamento de Justiça dos EUA se associou com TRM Labs e Tether. Eles usam tecnologia de rastreamento on-chain LIFO. Em junho de 2025, eles apreenderam $225 milhões em “ganhos de porco”, estabelecendo um recorde histórico.

 

Desafios Futuros

 

A tecnologia deepfake pode tornar a verificação de vídeo de entrevistas ineficaz. Hackers já testaram câmeras virtuais SplitCam. As brechas nas sanções tornam o registro de empresas de fachada difícil de eliminar. Essa situação exige a promoção de legislação de verificação de nome real para registro de empresas.

 

Conclusão: No Mundo Cripto, Sua Vigilância É a Chave Privada Mais Forte

 

Ao enfrentar armadilhas sofisticadas de hackers de nível estatal, a cautela pessoal e o controle de risco empresarial são ambos indispensáveis. Por trás de cada “oportunidade bem remunerada” pode haver um abismo de esvaziamento de carteira. Cada commit de código pode se tornar um fusível para a contaminação da cadeia de suprimentos. Somente tratando a segurança como fé podemos guardar a luz dos ativos digitais nesta floresta escura.

 

Ações Estendidas

  • Revise imediatamente as autorizações da carteira: revoke.cash

  • Reporte informações de recrutamento suspeitas: Centro de Queixas de Crimes Cibernéticos do FBI (IC3.gov)

  • Ferramentas de escaneamento de repositórios de código de desenvolvedor: Snyk, GitGuardian

"Investigação Profunda: Hackers Norte-Coreanos Atualizam Ataques de “Armadilha de Emprego”, Novo Trojan Alvo as Chaves Privadas de Trabalhadores de Cripto" este artigo foi inicialmente publicado em (CoinRank).