🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os trabalhadores de tecnologia da informação (TI) associados à República Popular Democrática da Coreia (RPDC) estão agora a candidatar-se a cargos remotos utilizando contas reais do LinkedIn de indivíduos que estão a fazer-se passar, marcando uma nova escalada do esquema fraudulento.
“Esses perfis geralmente têm e-mails verificados no local de trabalho e crachás de identidade, que os agentes da RPDC esperam que façam com que seus aplicativos fraudulentos pareçam legítimos”, disse a Security Alliance (SEAL) em uma série de postagens no X.
A ameaça dos trabalhadores de TI é uma operação de longa data montada pela Coreia do Norte, na qual agentes do país se passam por trabalhadores remotos para garantir empregos em empresas ocidentais e noutros locais, sob identidades roubadas ou fabricadas. A ameaça também é rastreada pela comunidade mais ampla de segurança cibernética, como Jasper Sleet, PurpleDelta e Wagemole.
O objectivo final destes esforços é duplo: gerar um fluxo constante de receitas para financiar os programas de armas do país, realizar espionagem através do roubo de dados sensíveis e, em alguns casos, ir mais longe, exigindo resgates para evitar a fuga de informações.
No mês passado, a empresa de segurança cibernética Silent Push descreveu o programa de trabalho remoto da RPDC como um “motor de receitas de alto volume” para o regime, permitindo que os actores da ameaça também obtenham acesso administrativo a bases de código sensíveis e estabeleçam persistência de vida fora da terra dentro da infra-estrutura corporativa.
“Depois que seus salários são pagos, os funcionários de TI da RPDC transferem criptomoedas por meio de uma variedade de técnicas diferentes de lavagem de dinheiro”, observou a empresa de análise de blockchain Chainalysis em um relatório publicado em outubro de 2025.
“Uma das maneiras pelas quais os trabalhadores de TI, bem como seus colegas de lavagem de dinheiro, quebram o vínculo entre a origem e o destino dos fundos na cadeia, é através de saltos de cadeia e/ou troca de tokens. Eles aproveitam contratos inteligentes, como trocas descentralizadas e protocolos de ponte para complicar o rastreamento de fundos.”
Para combater a ameaça, os indivíduos que suspeitam que as suas identidades estão a ser apropriadas indevidamente em candidaturas de emprego fraudulentas são aconselhados a considerar a publicação de um aviso nas suas contas de redes sociais, juntamente com a listagem dos seus canais de comunicação oficiais e do método de verificação para os contactar (por exemplo, e-mail da empresa).
“Sempre valide se as contas listadas pelos candidatos são controladas pelo e-mail que eles fornecem”, disse a Security Alliance. "Verificações simples, como pedir que eles se conectem com você no LinkedIn, verificarão a propriedade e o controle da conta."
A divulgação ocorre no momento em que o Serviço de Segurança Policial Norueguês (PST) emitiu um comunicado, afirmando que está ciente de “vários casos” durante o ano passado em que empresas norueguesas foram afetadas por esquemas de trabalhadores de TI.
“As empresas foram enganadas para contratar provavelmente trabalhadores de TI norte-coreanos em cargos de escritório doméstico”, disse o PST na semana passada. “A renda salarial que os funcionários norte-coreanos recebem através de tais cargos provavelmente vai para financiar o programa de armas e armas nucleares do país.”
Paralelamente ao esquema de trabalhadores de TI está outra campanha de engenharia social chamada Entrevista Contagiosa, que envolve o uso de fluxos de contratação falsos para atrair possíveis alvos para entrevistas depois de abordá-los no LinkedIn com ofertas de emprego. A fase maliciosa do ataque entra em ação quando indivíduos que se apresentam como recrutadores e gerentes de contratação instruem os alvos a concluir uma avaliação de habilidades que eventualmente os leva a executar código malicioso.
Em um caso de uma campanha de recrutamento de personificação visando trabalhadores de tecnologia usando um processo de contratação semelhante ao da empresa de infraestrutura de ativos digitais Fireblocks, os atores da ameaça teriam pedido aos candidatos que clonassem um repositório GitHub e executassem comandos para instalar um pacote npm para acionar a execução de malware.
“A campanha também empregou EtherHiding, uma nova técnica que aproveita contratos inteligentes de blockchain para hospedar e recuperar infraestrutura de comando e controle, tornando a carga maliciosa mais resistente a quedas”, disse o pesquisador de segurança Ori Hershko. “Essas etapas desencadearam a execução de código malicioso oculto no projeto. A execução do processo de configuração resultou no download e execução de malware no sistema da vítima, dando aos invasores uma posição segura na máquina da vítima.”
Nos últimos meses, novas variantes da campanha Contagious Interview foram observadas usando arquivos de tarefas maliciosos do Microsoft VS Code para executar malware JavaScript disfarçado de fontes da web que levam à implantação de BeaverTail e InvisibleFerret, permitindo acesso persistente e roubo de carteiras de criptomoedas e credenciais de navegador, de acordo com relatórios da Abstract Security e OpenSourceMalware.
Campanha Koalemos RAT
Suspeita-se que outra variante do conjunto de intrusões documentado pelo Panther envolva o uso de pacotes npm maliciosos para implantar um JavaS modular
“Esses perfis geralmente têm e-mails verificados no local de trabalho e crachás de identidade, que os agentes da RPDC esperam que façam com que seus aplicativos fraudulentos pareçam legítimos”, disse a Security Alliance (SEAL) em uma série de postagens no X.
A ameaça dos trabalhadores de TI é uma operação de longa data montada pela Coreia do Norte, na qual agentes do país se passam por trabalhadores remotos para garantir empregos em empresas ocidentais e noutros locais, sob identidades roubadas ou fabricadas. A ameaça também é rastreada pela comunidade mais ampla de segurança cibernética, como Jasper Sleet, PurpleDelta e Wagemole.
O objectivo final destes esforços é duplo: gerar um fluxo constante de receitas para financiar os programas de armas do país, realizar espionagem através do roubo de dados sensíveis e, em alguns casos, ir mais longe, exigindo resgates para evitar a fuga de informações.
No mês passado, a empresa de segurança cibernética Silent Push descreveu o programa de trabalho remoto da RPDC como um “motor de receitas de alto volume” para o regime, permitindo que os actores da ameaça também obtenham acesso administrativo a bases de código sensíveis e estabeleçam persistência de vida fora da terra dentro da infra-estrutura corporativa.
“Depois que seus salários são pagos, os funcionários de TI da RPDC transferem criptomoedas por meio de uma variedade de técnicas diferentes de lavagem de dinheiro”, observou a empresa de análise de blockchain Chainalysis em um relatório publicado em outubro de 2025.
“Uma das maneiras pelas quais os trabalhadores de TI, bem como seus colegas de lavagem de dinheiro, quebram o vínculo entre a origem e o destino dos fundos na cadeia, é através de saltos de cadeia e/ou troca de tokens. Eles aproveitam contratos inteligentes, como trocas descentralizadas e protocolos de ponte para complicar o rastreamento de fundos.”
Para combater a ameaça, os indivíduos que suspeitam que as suas identidades estão a ser apropriadas indevidamente em candidaturas de emprego fraudulentas são aconselhados a considerar a publicação de um aviso nas suas contas de redes sociais, juntamente com a listagem dos seus canais de comunicação oficiais e do método de verificação para os contactar (por exemplo, e-mail da empresa).
“Sempre valide se as contas listadas pelos candidatos são controladas pelo e-mail que eles fornecem”, disse a Security Alliance. "Verificações simples, como pedir que eles se conectem com você no LinkedIn, verificarão a propriedade e o controle da conta."
A divulgação ocorre no momento em que o Serviço de Segurança Policial Norueguês (PST) emitiu um comunicado, afirmando que está ciente de “vários casos” durante o ano passado em que empresas norueguesas foram afetadas por esquemas de trabalhadores de TI.
“As empresas foram enganadas para contratar provavelmente trabalhadores de TI norte-coreanos em cargos de escritório doméstico”, disse o PST na semana passada. “A renda salarial que os funcionários norte-coreanos recebem através de tais cargos provavelmente vai para financiar o programa de armas e armas nucleares do país.”
Paralelamente ao esquema de trabalhadores de TI está outra campanha de engenharia social chamada Entrevista Contagiosa, que envolve o uso de fluxos de contratação falsos para atrair possíveis alvos para entrevistas depois de abordá-los no LinkedIn com ofertas de emprego. A fase maliciosa do ataque entra em ação quando indivíduos que se apresentam como recrutadores e gerentes de contratação instruem os alvos a concluir uma avaliação de habilidades que eventualmente os leva a executar código malicioso.
Em um caso de uma campanha de recrutamento de personificação visando trabalhadores de tecnologia usando um processo de contratação semelhante ao da empresa de infraestrutura de ativos digitais Fireblocks, os atores da ameaça teriam pedido aos candidatos que clonassem um repositório GitHub e executassem comandos para instalar um pacote npm para acionar a execução de malware.
“A campanha também empregou EtherHiding, uma nova técnica que aproveita contratos inteligentes de blockchain para hospedar e recuperar infraestrutura de comando e controle, tornando a carga maliciosa mais resistente a quedas”, disse o pesquisador de segurança Ori Hershko. “Essas etapas desencadearam a execução de código malicioso oculto no projeto. A execução do processo de configuração resultou no download e execução de malware no sistema da vítima, dando aos invasores uma posição segura na máquina da vítima.”
Nos últimos meses, novas variantes da campanha Contagious Interview foram observadas usando arquivos de tarefas maliciosos do Microsoft VS Code para executar malware JavaScript disfarçado de fontes da web que levam à implantação de BeaverTail e InvisibleFerret, permitindo acesso persistente e roubo de carteiras de criptomoedas e credenciais de navegador, de acordo com relatórios da Abstract Security e OpenSourceMalware.
Campanha Koalemos RAT
Suspeita-se que outra variante do conjunto de intrusões documentado pelo Panther envolva o uso de pacotes npm maliciosos para implantar um JavaS modular
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #agentes #da #rpdc #se #fazem #passar #por #profissionais #no #linkedin #para #se #infiltrarem #em #empresas
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário