Astutos Peixes Lentos Enganam Desenvolvedores de Criptomoedas com Ofertas de Emprego Falsas

Um grupo de hackers norte-coreano conhecido como Slow Pisces está enganando desenvolvedores de criptomoedas para executar códigos maliciosos disfarçados de desafios de candidatura a empregos.

O grupo, também conhecido como Jade Sleet ou TraderTraitor, roubou mais de $1 bilhão em ativos de criptomoedas e continua a lançar ataques sofisticados com o objetivo de gerar renda para o regime da RPDC.

De acordo com pesquisadores de cibersegurança da Unit 42 da Palo Alto Networks, o Slow Pisces entra em contato com desenvolvedores no LinkedIn fingindo ser recrutadores. Após iniciar uma conversa, eles enviam uma descrição de trabalho falsa em um PDF. Se a vítima se candidata, é enviada um teste de codificação que inclui um “projeto real” hospedado no GitHub. Esse projeto está recheado de malware.

Esses projetos falsos geralmente parecem legítimos e até mesmo obtêm dados de sites reais como a Wikipedia. Mas escondido entre as fontes está um site malicioso controlado pelos hackers. O malware só é ativado após confirmar a localização e os detalhes do sistema do alvo, permitindo que o Slow Pisces evite a detecção.

Em vez de usar truques de hacking óbvios que os sistemas de segurança podem facilmente detectar, os atacantes usaram um método mais dissimulado chamado deserialização YAML. Basicamente, eles escondem um código perigoso dentro do que parece ser arquivos de configuração inofensivos, tornando-o mais difícil de detectar.

Uma vez instalado, o malware funciona na memória e não deixa rastros no disco rígido. Ele baixa malware adicional, chamado RN Loader e RN Stealer. O RN Loader coleta dados básicos do sistema, enquanto o RN Stealer reúne informações mais sensíveis, como nomes de usuários, aplicativos instalados e conteúdo do diretório, especialmente de sistemas macOS.

A Palo Alto Networks relatou as contas maliciosas no LinkedIn e no GitHub. Ambas as plataformas responderam:

“O GitHub e o LinkedIn removeram essas contas maliciosas por violarem nossos respectivos termos de serviço […] Continuamos a evoluir e melhorar nossos processos e incentivamos nossos clientes e membros a relatarem qualquer atividade suspeita.”

Especialistas em segurança recomendam que os desenvolvedores se mantenham cautelosos com desafios de codificação não solicitados e verifiquem as URLs vinculadas nos testes de emprego.