Noord-Koreaanse dreigingsactoren hebben net een geavanceerde wervingsfraude uitgevoerd gericht op ontwikkelaars. Valse Fireblocks-recruiters. Legitiem uitziende interviews. Malware vermomd als programmeeropdrachten. Ons beveiligingsteam heeft het opgemerkt, verstoord en hier is precies hoe het werkte. 🧵

De opzet was overtuigend: LinkedIn-profielen met realistische werkgeschiedenissen, professioneel opgemaakte PDF's, gedetailleerde Figma-borden en geplande Google Meet-interviews. Geen duidelijke typefouten. Geen rode vlaggen die je normaal zou verwachten bij phishingpogingen. Dit was anders.

Kandidaten werd gevraagd om een GitHub-repo te klonen en npm install uit te voeren voor een "code review-taak." Standaard ontwikkelaarsworkflow. Niets verdachts. Behalve dat de setupcommando's de uitvoering van malware activeerden. Klassiek Contagious Interview-patroon van APT 38.