Северокорейские угрозы только что провели сложную схему набора, нацеленную на разработчиков. Фальшивые рекрутеры Fireblocks. Выглядящие легитимно собеседования. Вредоносное ПО, замаскированное под задания по программированию. Наша команда безопасности поймала это, нарушила его, и вот как это работало. 🧵

Настройка была убедительной: профили LinkedIn с реалистичными рабочими историями, профессионально оформленные PDF-файлы, детализированные доски Figma и запланированные интервью в Google Meet. Никаких очевидных опечаток. Никаких красных флагов, которые вы обычно ожидаете от фишинговых попыток. Это было иначе.

Кандидатов попросили клонировать репозиторий GitHub и выполнить npm install для "задачи по код-ревью". Стандартный рабочий процесс разработчика. Ничего подозрительного. Кроме того, что команды настройки вызвали выполнение вредоносного ПО. Классический паттерн заразительного интервью от APT 38.