🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova variação da falsa campanha de recrutamento de atores de ameaças norte-coreanos tem como alvo os desenvolvedores de JavaScript e Python com tarefas relacionadas a criptomoedas.
A atividade está em curso desde pelo menos maio de 2025 e é caracterizada pela modularidade, o que permite ao ator da ameaça retomá-la rapidamente em caso de comprometimento parcial.
O malfeitor depende de pacotes publicados nos registros npm e PyPi que atuam como downloaders para um trojan de acesso remoto (RAT). No total, os investigadores encontraram 192 pacotes maliciosos relacionados com esta campanha, que apelidaram de ‘Graphalgo’.
Pesquisadores da empresa de segurança da cadeia de suprimentos de software ReversingLabs dizem que o ator da ameaça cria empresas falsas nos setores de blockchain e comércio de criptografia e publica ofertas de emprego em várias plataformas, como LinkedIn, Facebook e Reddit.
Anúncio de emprego falso no RedditFonte: ReversingLabs
Os desenvolvedores que se candidatam ao cargo são obrigados a mostrar suas habilidades executando, depurando e melhorando um determinado projeto. Entretanto, o objetivo do invasor é fazer com que o solicitante execute o código.
Esta ação faria com que uma dependência maliciosa de um repositório legítimo fosse instalada e executada.
“É fácil criar esses repositórios de tarefas de trabalho. Os atores da ameaça simplesmente precisam pegar um projeto básico legítimo e consertá-lo com uma dependência maliciosa e ele estará pronto para ser servido aos alvos”, dizem os pesquisadores.
Para esconder a natureza maliciosa das dependências, os hackers hospedam as dependências em plataformas legítimas, como npm e PyPi.
Estágio da campanha de falso recrutador Graphalgofonte: ReversingLabs
Em um caso destacado no relatório do ReversingLabs, um pacote chamado ‘bigmatutils’, com 10.000 downloads, era benigno até atingir a versão 1.1.0, que introduziu cargas maliciosas. Pouco depois, o agente da ameaça removeu o pacote, marcando-o como obsoleto, provavelmente para ocultar a atividade.
O nome Graphalgo da campanha é derivado de pacotes que possuem “gráfico” no nome. Eles normalmente personificam bibliotecas populares e legítimas como a graphlib, dizem os pesquisadores.
No entanto, a partir de dezembro de 2025, o ator norte-coreano mudou para pacotes com “grande” no nome. No entanto, o ReversingLabs não descobriu a parte de recrutamento, ou o frontend da campanha, relacionado a eles.
Cronograma de envio de pacotesFonte: ReversingLabs
Segundo os pesquisadores, o ator usa Organizações Github, que são contas compartilhadas para colaboração em vários projetos. Eles dizem que os repositórios do GitHub são limpos e que códigos maliciosos são introduzidos indiretamente por meio de dependências hospedadas em npm e PyPI, que são os pacotes Graphalgo.
As vítimas que executam o projeto conforme as instruções da entrevista infectam seus sistemas com esses pacotes, que instalam uma carga RAT em suas máquinas.
É importante notar que os pesquisadores do ReversingLabs identificaram vários desenvolvedores que caíram na armadilha e os contataram para obter mais detalhes sobre o processo de recrutamento.
O RAT pode listar os processos em execução no host, executar comandos arbitrários de acordo com as instruções do servidor de comando e controle (C2) e exfiltrar arquivos ou descartar cargas adicionais.
Comandos suportados pelo RATSource: ReversingLabs
O RAT verifica se a extensão de criptomoeda MetaMask está instalada no navegador da vítima, uma indicação clara de seus objetivos de roubo de dinheiro.
Sua comunicação C2 é protegida por token para bloquear observadores não autorizados, uma tática comum para hackers norte-coreanos.
ReversingLabs encontrou múltiplas variantes escritas em JavaScript, Python e VBS, mostrando a intenção de cobrir todos os alvos possíveis.
Os pesquisadores atribuem a falsa campanha de recrutamento do Graphalgo ao grupo Lazarus com confiança média a alta. The conclusion is based on the approach, the use of coding tests as an infection vector, and the cryptocurrency-focused targeting, all of which aligning with previous activity associated with the North Korean threat actor.
Além disso, os pesquisadores observam o atraso na ativação de códigos maliciosos nos pacotes, consistente com a paciência do Lazarus demonstrada em outros ataques. Finalmente, os commits do Git mostram o fuso horário GMT +9, correspondente ao horário da Coreia do Norte.
Os indicadores completos de compromisso (IoCs) estão disponíveis no relatório original. Os desenvolvedores que instalaram os pacotes maliciosos a qualquer momento devem alternar todos os tokens e senhas de contas e reinstalar seu sistema operacional.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
A atividade está em curso desde pelo menos maio de 2025 e é caracterizada pela modularidade, o que permite ao ator da ameaça retomá-la rapidamente em caso de comprometimento parcial.
O malfeitor depende de pacotes publicados nos registros npm e PyPi que atuam como downloaders para um trojan de acesso remoto (RAT). No total, os investigadores encontraram 192 pacotes maliciosos relacionados com esta campanha, que apelidaram de ‘Graphalgo’.
Pesquisadores da empresa de segurança da cadeia de suprimentos de software ReversingLabs dizem que o ator da ameaça cria empresas falsas nos setores de blockchain e comércio de criptografia e publica ofertas de emprego em várias plataformas, como LinkedIn, Facebook e Reddit.
Anúncio de emprego falso no RedditFonte: ReversingLabs
Os desenvolvedores que se candidatam ao cargo são obrigados a mostrar suas habilidades executando, depurando e melhorando um determinado projeto. Entretanto, o objetivo do invasor é fazer com que o solicitante execute o código.
Esta ação faria com que uma dependência maliciosa de um repositório legítimo fosse instalada e executada.
“É fácil criar esses repositórios de tarefas de trabalho. Os atores da ameaça simplesmente precisam pegar um projeto básico legítimo e consertá-lo com uma dependência maliciosa e ele estará pronto para ser servido aos alvos”, dizem os pesquisadores.
Para esconder a natureza maliciosa das dependências, os hackers hospedam as dependências em plataformas legítimas, como npm e PyPi.
Estágio da campanha de falso recrutador Graphalgofonte: ReversingLabs
Em um caso destacado no relatório do ReversingLabs, um pacote chamado ‘bigmatutils’, com 10.000 downloads, era benigno até atingir a versão 1.1.0, que introduziu cargas maliciosas. Pouco depois, o agente da ameaça removeu o pacote, marcando-o como obsoleto, provavelmente para ocultar a atividade.
O nome Graphalgo da campanha é derivado de pacotes que possuem “gráfico” no nome. Eles normalmente personificam bibliotecas populares e legítimas como a graphlib, dizem os pesquisadores.
No entanto, a partir de dezembro de 2025, o ator norte-coreano mudou para pacotes com “grande” no nome. No entanto, o ReversingLabs não descobriu a parte de recrutamento, ou o frontend da campanha, relacionado a eles.
Cronograma de envio de pacotesFonte: ReversingLabs
Segundo os pesquisadores, o ator usa Organizações Github, que são contas compartilhadas para colaboração em vários projetos. Eles dizem que os repositórios do GitHub são limpos e que códigos maliciosos são introduzidos indiretamente por meio de dependências hospedadas em npm e PyPI, que são os pacotes Graphalgo.
As vítimas que executam o projeto conforme as instruções da entrevista infectam seus sistemas com esses pacotes, que instalam uma carga RAT em suas máquinas.
É importante notar que os pesquisadores do ReversingLabs identificaram vários desenvolvedores que caíram na armadilha e os contataram para obter mais detalhes sobre o processo de recrutamento.
O RAT pode listar os processos em execução no host, executar comandos arbitrários de acordo com as instruções do servidor de comando e controle (C2) e exfiltrar arquivos ou descartar cargas adicionais.
Comandos suportados pelo RATSource: ReversingLabs
O RAT verifica se a extensão de criptomoeda MetaMask está instalada no navegador da vítima, uma indicação clara de seus objetivos de roubo de dinheiro.
Sua comunicação C2 é protegida por token para bloquear observadores não autorizados, uma tática comum para hackers norte-coreanos.
ReversingLabs encontrou múltiplas variantes escritas em JavaScript, Python e VBS, mostrando a intenção de cobrir todos os alvos possíveis.
Os pesquisadores atribuem a falsa campanha de recrutamento do Graphalgo ao grupo Lazarus com confiança média a alta. The conclusion is based on the approach, the use of coding tests as an infection vector, and the cryptocurrency-focused targeting, all of which aligning with previous activity associated with the North Korean threat actor.
Além disso, os pesquisadores observam o atraso na ativação de códigos maliciosos nos pacotes, consistente com a paciência do Lazarus demonstrada em outros ataques. Finalmente, os commits do Git mostram o fuso horário GMT +9, correspondente ao horário da Coreia do Norte.
Os indicadores completos de compromisso (IoCs) estão disponíveis no relatório original. Os desenvolvedores que instalaram os pacotes maliciosos a qualquer momento devem alternar todos os tokens e senhas de contas e reinstalar seu sistema operacional.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
#samirnews #samir #news #boletimtec #recrutadores #de #empregos #falsos #escondem #malware #em #desafios #de #codificação #de #desenvolvedores
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário