Hackers com ligações ao governo da Coreia do Norte teriam expandido golpes de engenharia social projetados para roubar criptomoedas ao infiltrarem-se em “centenas” de grandes empresas multinacionais de tecnologia da informação.

De acordo com um artigo da TechCrunch, pesquisadores da conferência de cibersegurança Cyberwarcon identificaram dois grupos de hackers norte-coreanos chamados “Sapphire Sleet” e “Ruby Sleet”.

O grupo Sapphire Sleet visava indivíduos através de esquemas fraudulentos de recrutamento, fingindo ser recrutadores legítimos e atraindo vítimas desavisadas para entrevistas ou outras ofertas de emprego. Durante o processo de entrevista, os hackers infectavam os computadores das vítimas com malwares disfarçados como arquivos de documentos ou links maliciosos.

Já o Ruby Sleet conseguiu se infiltrar em contratantes aeroespaciais e de defesa nos Estados Unidos, Reino Unido e Coreia do Sul para roubar segredos militares.

Além disso, a reportagem mencionou que trabalhadores de TI norte-coreanos usavam identidades falsas criadas com tecnologias de IA, redes sociais e modificadores de voz para se infiltrar em empresas e realizar golpes de recrutamento.

Roubos de criptoativos em novembro de 2024. Fonte: Immunefi, Because Bitcoin

Hackers norte-coreanos miram a indústria de criptomoedas

Antes mesmo dos pesquisadores da Cyberwarcon emitirem um alerta sobre grupos de hackers norte-coreanos mirando empresas de tecnologia da informação, hackers associados ao regime da Coreia do Norte já tinham como alvo empresas de criptomoedas usando as mesmas táticas.

Em agosto, o investigador on-chain ZackXBT afirmou ter identificado 21 desenvolvedores, supostamente norte-coreanos, trabalhando em vários projetos de criptomoedas sob identidades falsas.

Mais tarde, em setembro, o Federal Bureau of Investigation (FBI) emitiu um alerta sobre hackers norte-coreanos visando empresas de criptomoedas e projetos de finanças descentralizadas (DeFi) com malwares disfarçados como ofertas de emprego. Quando os usuários baixavam o malware ou clicavam em links maliciosos, suas chaves privadas eram roubadas.

Mais recentemente, em outubro, o ecossistema Cosmos enfrentou preocupações sobre seu Módulo de Staking Líquido, que teria sido desenvolvido por norte-coreanos.

Na época, o desenvolvedor do ecossistema Cosmos, Jacob Gadikian, afirmou: “As pessoas que construíram o LSM são os ladrões de criptomoedas mais habilidosos e prolíficos do mundo.” A ameaça de backdoors e outras linhas de código maliciosas levou a várias auditorias de segurança do Módulo de Staking Líquido da Cosmos.