Hackers norte-coreanos ligados ao ataque de US$ 1,4 bilhão à Bybit estariam mirando desenvolvedores de cripto com falsos testes de recrutamento infectados com malware.

O portal de cibersegurança The Hacker News relatou que desenvolvedores de cripto têm recebido tarefas de programação de agentes maliciosos que se passam por recrutadores. Esses desafios de codificação estariam sendo usados para instalar malware em desenvolvedores desavisados.

Os invasores abordam desenvolvedores cripto no LinkedIn e apresentam falsas oportunidades de carreira. Depois de convencerem o profissional, enviam um documento malicioso com os detalhes de um desafio de programação hospedado no GitHub. Ao ser aberto, o arquivo instala um malware do tipo stealer, capaz de comprometer o sistema da vítima.

O golpe seria operado por um grupo de hackers norte-coreano conhecido como Slow Pisces, também chamado de Jade Sleet, Pukchong, TraderTraitor e UNC4899. 

Profissionais de cibersegurança alertam para ofertas de trabalho fraudulentas

Hakan Unal, líder do centro de operações de segurança (SOC) da empresa Cyvers, disse ao Cointelegraph que os hackers geralmente têm como objetivo roubar credenciais e códigos de acesso de desenvolvedores. Segundo ele, os invasores costumam procurar por configurações em nuvem, chaves SSH, dados do iCloud Keychain, metadados de sistema e aplicativos, além de acessos a carteiras.

Luis Lubeck, gerente de projetos da empresa de segurança Hacken, afirmou ao Cointelegraph que os invasores também tentam acessar chaves de API ou a infraestrutura de produção.

Lubeck apontou que o principal canal utilizado por esses atores maliciosos é o LinkedIn, mas que a equipe da Hacken também observou ataques por meio de plataformas de trabalho freelance, como Upwork e Fiverr.

“Os agentes de ameaça se passam por clientes ou gerentes de contratação oferecendo contratos bem remunerados ou testes, especialmente no setor DeFi ou de segurança, o que soa crível para os desenvolvedores”, acrescentou Lubeck.

Hayato Shigekawa, arquiteto de soluções da Chainalysis, disse ao Cointelegraph que os hackers criam perfis de funcionários aparentemente confiáveis em redes profissionais e os associam a currículos que correspondem a cargos falsos.

Todo esse esforço tem como objetivo final obter acesso à empresa Web3 que emprega o desenvolvedor-alvo. “Depois de obterem acesso à empresa, os hackers identificam vulnerabilidades, que podem levar a explorações”, completou Shigekawa.

Cuidado com ofertas de trabalho não solicitadas

Yehor Rudytsia, pesquisador de segurança on-chain da Hacken, observou que os invasores estão cada vez mais criativos, imitando maus traders para lavar fundos e explorando brechas com ataques técnicos e psicológicos.

“Isso torna a educação dos desenvolvedores e a higiene operacional tão importantes quanto auditorias de código ou proteções para contratos inteligentes”, disse Rudytsia ao Cointelegraph.

Unal afirmou que algumas das melhores práticas que desenvolvedores podem adotar para evitar esse tipo de ataque incluem o uso de máquinas virtuais e ambientes isolados (sandboxes) para testes, a verificação independente de ofertas de trabalho e a não execução de códigos vindos de desconhecidos.

O especialista acrescentou que desenvolvedores de cripto devem evitar instalar pacotes não verificados e utilizar boas soluções de proteção de endpoint.

Enquanto isso, Lubeck recomendou entrar em contato com canais oficiais para verificar a identidade de recrutadores e evitar armazenar segredos em formato de texto simples.

“Tenha atenção redobrada com propostas ‘boas demais para ser verdade’, especialmente as não solicitadas”, alertou Lubeck.