Actores de amenaza norcoreanos acaban de ejecutar una estafa sofisticada de reclutamiento dirigida a desarrolladores. Reclutadores falsos de Fireblocks. Entrevistas que parecen legítimas. Malware disfrazado de tareas de programación. Nuestro equipo de seguridad lo detectó, lo interrumpió, y así es exactamente como funcionaba. 🧵

La configuración era convincente: perfiles de LinkedIn con historiales laborales realistas, PDFs formateados profesionalmente, tableros detallados de Figma y entrevistas programadas en Google Meet. No hay errores evidentes. No hay señales de alarma que normalmente esperarías de intentos de phishing. Esto era diferente.

Se pidió a los candidatos que clonaran un repositorio de GitHub y ejecutaran la instalación de npm para una "tarea de revisión de código". Flujo de trabajo estándar para desarrolladores. Nada sospechoso. Excepto que los comandos de configuración activaron la ejecución de malware. Patrón clásico de entrevistas contagiosas de APT 38.