Recrutamento falso e entrevistas tornaram-se novas armas, hackers norte-coreanos visam mais de 3100 IPs do setor de criptomoedas

A organização de hackers norte-coreana PurpleBravo voltou a atuar. Após roubar mais de 20 mil milhões de dólares no mercado de criptomoedas em 2025, esta organização lançou, a 22 de janeiro deste ano, uma campanha massiva de recrutamento falso, realizando ataques de espionagem cibernética a mais de 3100 endereços na internet relacionados com empresas de inteligência artificial, criptomoedas e serviços financeiros. Desta vez, o seu método de entrada foi mais dissimulado: disfarçando-se de recrutadores ou desenvolvedores, induzindo os candidatos a executar código malicioso nos dispositivos das empresas através de entrevistas técnicas falsas.

Recrutamento falso como nova porta de entrada para engenharia social

Inovação na técnica de ataque

O novo processo de ataque da PurpleBravo parece simples, mas é altamente eficiente. Os atacantes primeiro se fazem passar por recrutadores de empresas de criptografia ou tecnologia, entrando em contacto com os candidatos. Depois, alegando uma entrevista técnica, solicitam que o alvo complete uma série de tarefas aparentemente razoáveis: revisar código, clonar repositórios ou realizar tarefas de programação. Durante a execução dessas tarefas, o candidato na verdade está a rodar código malicioso cuidadosamente preparado pelos hackers.

A engenhosidade deste método reside na exploração do estado psicológico do candidato. As tarefas de entrevista parecem totalmente legítimas, e os candidatos, muitas vezes, estão ansiosos por demonstrar as suas capacidades, o que reduz a sua vigilância. Para as empresas, o alvo costuma ser um funcionário com alguma capacidade técnica, que geralmente possui privilégios mais elevados no sistema.

Disfarces e infraestrutura

De acordo com a análise da organização de segurança Recorded Future, a PurpleBravo utilizou múltiplas identidades falsas, incluindo uma identidade ucraniana fictícia. Eles implantaram dois principais tipos de trojans de acesso remoto:

• PylangGhost: capaz de roubar automaticamente credenciais de browsers e cookies
• GolangGhost: também com capacidade de roubo de credenciais

Além disso, os hackers desenvolveram uma versão maliciosa do Microsoft Visual Studio Code, que injeta backdoors através de repositórios Git maliciosos. A infraestrutura deles é bastante avançada, utilizando o Astrill VPN e 17 provedores de serviços para hospedar servidores de malware.

Ameaça específica ao setor de criptomoedas

Por que o setor de criptomoedas é um alvo prioritário

Entre os mais de 3100 alvos nesta campanha, uma proporção significativa corresponde a empresas de criptomoedas. Isso não é coincidência. Os funcionários do setor de criptografia geralmente têm acesso a ativos de alto valor, como chaves privadas e permissões de acesso a carteiras, e, uma vez comprometidos, os hackers podem transferir fundos diretamente. Além disso, a defesa das empresas de criptomoedas costuma ser menos madura do que a de instituições financeiras tradicionais.

Dos 20 alvos confirmados, eles estão distribuídos por Ásia do Sul, América do Norte, Europa, Médio Oriente e América Central. Isso indica que a PurpleBravo tem objetivos claros em todo o mundo.

Sinais adicionais de ameaça

Pesquisadores de segurança também descobriram canais no Telegram que vendem contas do LinkedIn e Upwork, e os atacantes tiveram interações com a plataforma de troca de criptomoedas MEXC Exchange. Isso sugere que os hackers podem estar a construir uma cadeia de fornecimento completa: obtendo informações de identidade reais, criando perfis falsos de recrutamento, realizando ataques e monetizando os ativos roubados.

Como as empresas podem responder

Pontos-chave de defesa

Para empresas de criptografia e tecnologia, defender-se contra esse tipo de ataque requer múltiplas camadas de proteção:

• Verificação do processo de recrutamento: confirmar convites para entrevistas através de canais oficiais, usando e-mails corporativos e não terceiros
• Treinamento de funcionários: capacitar os profissionais técnicos a reconhecerem novas técnicas de engenharia social, mantendo vigilância mesmo em tarefas de entrevista aparentemente legítimas
• Revisão de código: realizar uma análise rigorosa de qualquer código externo, evitando execução direta em ambientes de produção
• Controle de acesso: limitar privilégios nos dispositivos dos funcionários, usando máquinas virtuais isoladas para tarefas não confiáveis
• Monitorização e alertas: implementar ferramentas de deteção e resposta de endpoint (EDR), monitorando acessos a credenciais e conexões de rede anormais

Resumo

Recrutamento falso para entrevistas representa uma nova direção na engenharia social dos hackers. Em comparação com os tradicionais e-mails de phishing, essa abordagem é mais direcionada, explorando a psicologia dos candidatos e vulnerabilidades nos processos de recrutamento das empresas. Para o setor de criptomoedas, as atividades contínuas da PurpleBravo indicam que hackers norte-coreanos continuam a considerar este setor como um alvo principal. As empresas precisam reconhecer que funcionários altamente qualificados são frequentemente os pontos mais vulneráveis, e a defesa eficaz passa por estabelecer processos de validação de recrutamento completos e aumentar a consciência de segurança entre os colaboradores. Além disso, o compartilhamento de informações e a cooperação na defesa dentro do setor tornam-se cada vez mais essenciais.