Nordkoreanska hotaktörer körde precis en sofistikerad rekryteringsbluff riktad mot utvecklare. Falska Fireblocks-rekryterare. Legitima intervjuer. Skadlig kod förklädd till kodningsuppgifter. Vårt säkerhetsteam upptäckte det, störde det, och här är exakt hur det fungerade. 🧵

Upplägget var övertygande: LinkedIn-profiler med realistiska arbetshistorier, professionellt formaterade PDF:er, detaljerade Figma-tavlor och schemalagda Google Meet-intervjuer. Inga uppenbara stavfel. Inga varningssignaler som man normalt förväntar sig av nätfiskeförsök. Det här var annorlunda.

Kandidater ombads klona ett GitHub-repo och köra npm-installation för en "kodgranskningsuppgift." Standard utvecklararbetsflöde. Inget misstänkt. Men installationskommandona utlöste att malware kördes. Klassiskt smittsamt intervjumönster från APT 38.