PH Mota
RedatorJornalista há 15 anos, teve uma infância analógica cada vez mais conquistada pelos charmes das novas tecnologias. Do videocassete ao streaming, do Windows 3.1 aos celulares cada vez menores.
Um desenvolvedor espanhol de blockchain quase foi vítima de uma das operações de ciberespionagem mais sofisticadas em circulação atualmente. A isca usada foi algo inocente: uma oferta de emprego enviada pelo LinkedIn. O que parecia uma oportunidade profissional era, na realidade, uma armadilha arquitetada por um dos grupos de hackers norte-coreanos mais perigosos e bem financiados do mundo.
O caso foi analisado por Claudio Chifa, fundador da empresa de cibersegurança DLTCode, e coincide com outro ataque documentado algumas semanas antes contra Chris Papathanasiou, CEO da empresa de segurança AllSecure. Dois ataques quase idênticos, dois países diferentes, o mesmo autor: o Grupo Lazarus, a unidade de operações digitais do governo norte-coreano.
A oferta de emprego era uma armadilha
No caso espanhol, o contato veio na forma de uma oferta de emprego para consultor estratégico em um projeto de videogame descentralizado, com trabalho 100% remoto e horário flexível, via LinkedIn.
Após uma breve conversa, o suposto recrutador enviou um link para continuar o processo seletivo, convidando o candidato para uma videochamada de 45 minutos. Depois dessa conversa inicial, a isca que completou a armadilha entrou em ação: baixar um repositório e abri-lo no Visual Studio Code para analisá-lo.
No caso de Papathanasiou, o modus operandi foi praticamente idêntico: um perfil no LinkedIn oferecia-lhe um emprego numa empresa que descrevia como "uma equipe em rápido crescimento desenvolvendo o primeiro sistema operacional de IA descentralizado", incluindo também um link do Calendly (uma ferramenta de agendamento de reuniões) para marcar a chamada.
Durante a videochamada, o suposto recrutador usou brevemente a câmera, exibindo um rosto que correspondia ao perfil do LinkedIn que estava usando como fachada, embora a voz não correspondesse a nenhum vídeo público dessa pessoa que Papathanasiou encontrou posteriormente.
"Comecei a gravar no meio da conversa, quando comecei a suspeitar que algo estava errado", afirmou Papathanasiou, que suspeita que os atacantes usaram tecnologia deepfake para se passar pela pessoa com quem estava falando.
Claudio Chifa, no entanto, começou a suspeitar que algo estava errado quando vários pequenos detalhes não se encaixavam no projeto que lhe foi oferecido: "O sotaque da pessoa não batia, as instruções no repositório do GitHub foram claramente geradas por algum tipo de IA, o que também me fez duvidar da qualidade do projeto. Mas, acima de tudo, foi a insistência em executar o código na minha máquina para uma vaga de consultor", enfatizou o especialista em cibersegurança.
Três armadilhas
Tanto o repositório analisado por Chifa e pela DLTCode quanto o investigado pela AllSecure ocultavam três mecanismos de infecção independentes, projetados para serem ativados simultaneamente quando a pasta era aberta, de modo que, se um falhasse, os outros dois atuavam como salvaguarda, concluindo o processo.
O primeiro ataque explorou uma funcionalidade do Visual Studio Code que permite aos usuários configurar tarefas automáticas ao abrir um projeto. O comando malicioso era executado em uma janela oculta, sem deixar rastros visíveis para o usuário, e podia ser adaptado ao sistema operacional da vítima (Mac, Linux ou Windows).
O segundo mecanismo operava durante o processo normal de instalação de um projeto usando o npm (o gerenciador de pacotes ou ferramenta de instalação de componentes usada por programadores JavaScript). Nesse momento, o servidor do atacante recebia automaticamente todas as credenciais armazenadas no sistema, incluindo chaves para serviços como AWS, Stripe ou OpenAI, e obtinha controle total do computador.
O terceiro ataque estava vinculado aos dois anteriores, de modo que simplesmente abrir a pasta era suficiente para desencadear os três ataques simultaneamente.
"O aspecto mais inteligente desse ataque é que ele não depende de a vítima fazer nada de extraordinário. Eles não pedem para você executar um arquivo .exe, não pedem para você desativar seu antivírus, não pedem para você fazer nada que levante suspeitas. Eles pedem para você abrir uma pasta no seu editor de código. Algo que um desenvolvedor faz cinquenta vezes por dia", destaca Chifa.
Projetado para não deixar rastros
O histórico do repositório analisado pela DLTCode revela que a operação está ativa desde setembro de 2025, com onze servidores de comando e controle a partir dos quais os atacantes gerenciam remotamente o malware, que foram rotacionados ao longo desse período.
Quando a AllSecure tentou analisar o ataque a partir de servidores da AWS, os operadores do Lazarus detectaram que o endereço IP de origem pertencia a um data center e imediatamente cortaram a conexão. Isso dá uma ideia do nível de vigilância ativa que esse grupo mantém sobre sua própria infraestrutura.
O objetivo final de ambos os ataques era o mesmo: roubar carteiras de criptomoedas, senhas de navegadores, chaves SSH (códigos de acesso remoto a servidores) e quaisquer credenciais armazenadas no sistema que pudessem ser úteis no futuro. O FBI estima que o grupo Lazarus tenha acumulado mais de US$ 1,5 bilhão em criptomoedas roubadas por meio de campanhas desse tipo.
Como se defender contra esses tipos de ataques
O que salvou Chifa de cair na armadilha foi a pausa para analisar o código antes de executá-lo. Algo na reunião não parecia certo, então ele decidiu investigar primeiro. Papathanasiou fez o mesmo e, desconfiado, criou um ambiente virtual isolado e analisou o repositório de lá, em vez de abri-lo diretamente em seu computador.
Para programadores e engenheiros de software, que se tornaram o principal alvo desses cibercriminosos, especialistas recomendam desativar a execução automática de tarefas no Visual Studio Code, sempre inspecionar os arquivos de configuração e instalação de qualquer projeto recebido externamente e nunca executar código de fontes desconhecidas fora de um ambiente isolado.
"A precaução mais importante é desconfiar de qualquer processo seletivo que peça para você executar código durante o contato inicial. Nenhuma empresa legítima precisa que você abra um repositório local no primeiro contato." "Se alguém entrar em contato com você no LinkedIn com um projeto extraordinário e, alguns dias depois, pedir para você baixar o código, esse é o momento de parar", alerta o fundador da DLTCode.
No caso da suspeita de uma tentativa de ataque cibernético em Espanha, tanto o Instituto Nacional de Cibersegurança (INCIBE) como a Unidade de Cibercrimes da Guarda Civil têm canais para receber essas denúncias.
Imagem | Unsplash (Nguyen Dang Hoang Nhu, LinkedIn Sales Solutions)
Ver 0 Comentários