Falsa Entrevista, Verdadeira Ameaça: Hackers Miram Desenvolvedores com Malware Invisível

Uma nova campanha de ciberataques chamada DeceptiveDevelopment está mirando desenvolvedores freelancers com falsas entrevistas de emprego, espalhando os malwares BeaverTail e InvisibleFerret. A operação, atribuída a grupos hackers norte-coreanos, tem como objetivo roubar carteiras de criptomoedas e credenciais armazenadas em navegadores.

Os criminosos usam perfis falsos de recrutadores em plataformas como Upwork, Freelancer.com, We Work Remotely e Crypto Jobs List. Os alvos são convidados a realizar testes técnicos, onde recebem códigos infectados hospedados no GitHub, GitLab ou Bitbucket. O malware é ativado quando os candidatos compilam e executam o projeto, acreditando ser parte do processo seletivo.

Outro vetor de ataque envolve a instalação de falsas plataformas de videoconferência, como versões comprometidas do MiroTalk e FreeConference.

Os malwares utilizados atuam em conjunto:

• BeaverTail: funciona como um downloader para o InvisibleFerret, podendo ser inserido discretamente em projetos de código.

• InvisibleFerret: malware modular que rouba credenciais, registra teclas digitadas, copia dados da área de transferência e instala o AnyDesk para acesso remoto.

Os principais alvos são desenvolvedores ligados a projetos de criptomoedas e finanças descentralizadas (DeFi) em países como Finlândia, Índia, Itália, Rússia, EUA, entre outros.

Esse golpe se assemelha à Operation Dream Job, outra estratégia norte-coreana de infiltração no setor de tecnologia. Além dos ataques, há evidências de que hackers se fazem passar por trabalhadores de TI para conseguir empregos legítimos e financiar o regime da Coreia do Norte.

Desenvolvedores devem redobrar a atenção ao receber propostas suspeitas e evitar executar códigos desconhecidos.