Los actores de amenazas norcoreanos acaban de llevar a cabo una sofisticada estafa de reclutamiento dirigida a desarrolladores. Reclutadores falsos de Fireblocks. Entrevistas que parecen legítimas. Malware disfrazado de tareas de programación. Nuestro equipo de seguridad lo detectó, lo interrumpió, y aquí está exactamente cómo funcionó. 🧵

La configuración era convincente: perfiles de LinkedIn con historiales laborales realistas, PDFs profesionalmente formateados, tableros de Figma detallados y entrevistas programadas en Google Meet. Sin errores tipográficos obvios. Sin señales de alerta que normalmente esperarías de intentos de phishing. Esto era diferente.

Se pidió a los candidatos que clonaran un repositorio de GitHub y ejecutaran npm install para una "tarea de revisión de código." Flujo de trabajo estándar de desarrollador. Nada sospechoso. Excepto que los comandos de configuración activaron la ejecución de malware. Patrón clásico de Entrevista Contagiosa de APT 38.