Attori minacciosi nordcoreani hanno appena messo in atto una sofisticata truffa di reclutamento mirata agli sviluppatori. Reclutatori falsi di Fireblocks. Colloqui dall'aspetto legittimo. Malware mascherato da compiti di programmazione. Il nostro team di sicurezza l'ha scoperto, l'ha interrotto, e ecco esattamente come ha funzionato. 🧵

L'impostazione era convincente: profili LinkedIn con storie lavorative realistiche, PDF formattati professionalmente, schede Figma dettagliate e colloqui programmati su Google Meet. Nessun errore di battitura evidente. Nessun campanello d'allarme che ci si aspetterebbe normalmente da tentativi di phishing. Questo era diverso.

Ai candidati è stato chiesto di clonare un repo GitHub ed eseguire npm install per un "compito di revisione del codice." Flusso di lavoro standard per uno sviluppatore. Niente di sospetto. Tranne per il fatto che i comandi di configurazione hanno attivato l'esecuzione di malware. Classico schema di colloqui contagiosi di APT 38.