Netcrook Logo
👤 LOGICFALCON
🗓️ 16 Apr 2026   🌍 Asia

La nuova trappola Mac di Pyongyang: come gli hacker nordcoreani trasformano i colloqui di lavoro in furti di dati

Il gruppo Sapphire Sleet della Corea del Nord dirotta le tattiche di social engineering per rubare dati sensibili a ignari utenti macOS.

Inizia in modo abbastanza innocente: un messaggio su LinkedIn da parte di un recruiter, un’offerta di lavoro allettante, una chiamata Zoom programmata. Ma per un numero crescente di utenti macOS, queste strette di mano digitali sono l’atto d’apertura di una truffa informatica ad alto rischio orchestrata da Sapphire Sleet, gruppo di minaccia nordcoreano che sta perfezionando una manovra di social engineering chiamata “ClickFix”.

Il team Threat Intelligence di Microsoft ha recentemente portato alla luce questa campagna, che prende di mira gli utenti macOS attraverso una combinazione di manipolazione psicologica e sotterfugi tecnici. Gli attaccanti, che si ritiene abbiano sovrapposizioni con gruppi notori come APT38 e Stardust Chollima, hanno una missione: convogliare criptovalute e proprietà intellettuale rubate verso il regime nordcoreano.

Ecco come si sviluppa la truffa. Gli operatori di Sapphire Sleet creano profili di recruiter convincenti sui social network, poi ingaggiano i loro bersagli con offerte di posizioni ben retribuite. Una volta stabilita la fiducia, il “recruiter” invita la vittima a un colloquio tecnico - di solito ospitato su una piattaforma familiare come Zoom. Ma c’è un problema: il colloquio non può procedere, sostengono, senza uno speciale “aggiornamento Zoom SDK”.

Questo presunto aggiornamento è in realtà un file AppleScript camuffato (“Zoom SDK Update.scpt”). Alle vittime viene detto di aprirlo nell’Editor Script di macOS e fare clic su “Esegui lo script”. A loro insaputa, questo gesto attiva un payload sofisticato e multistadio che distribuisce silenziosamente strumenti per la raccolta di credenziali, ladri di dati e backdoor persistenti. Il malware prende di mira di tutto, dalle cronologie del browser e i portachiavi delle password ai wallet crypto e alle chat di Telegram - spesso prima che l’utente sospetti qualcosa.

Ciò che rende ClickFix così efficace è lo sfruttamento di scenari di assistenza tecnica di routine. “Gli attaccanti sfruttano questa familiarità per far sembrare normali azioni malevole, riducendo lo scetticismo della vittima nel momento critico della compromissione”, afferma Sherrod DeGrippo di Microsoft. La campagna manipola persino il framework Transparency, Consent, and Control (TCC) di Apple, sopprimendo i prompt di avviso che potrebbero allertare gli utenti su attività sospette.

In risposta, Microsoft consiglia alle organizzazioni di formare i dipendenti su queste tattiche, limitare l’esecuzione di script scaricati e prestare cautela con qualsiasi file o prompt ricevuto tramite contatti non richiesti. Apple, informata da Microsoft, ha rilasciato aggiornamenti per rilevare e bloccare l’infrastruttura malevola - ma il gioco del gatto col topo continua.

Con l’evoluzione del manuale operativo cyber della Corea del Nord, i confini tra i normali rituali del lavoro da remoto e lo spionaggio sofisticato si fanno sempre più sfumati. La prossima volta che un recruiter ti scrive in DM, ricorda: nel mondo del cybercrime, anche un’offerta di lavoro può essere una trappola.

TECHCROOK

Bitdefender Antivirus for Mac è una soluzione di sicurezza pensata per macOS utile contro campagne di social engineering come quelle che inducono a eseguire script o “finti aggiornamenti” durante colloqui online. Integra protezione in tempo reale contro malware e downloader, analisi comportamentale per intercettare attività anomale (esfiltrazione di dati, persistenza), e funzioni anti-phishing per ridurre il rischio di furto credenziali tramite link e pagine fasulle. La scansione può includere file e archivi scaricati, mentre gli aggiornamenti automatici delle firme aiutano a reagire rapidamente a nuove varianti. È indicato per utenti che usano Zoom, browser e wallet crypto su Mac e vogliono un livello aggiuntivo oltre alle difese native. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Antivirus for Mac è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Social Engineering: il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • AppleScript: AppleScript è un linguaggio di scripting di macOS per automatizzare attività, ma può anche essere abusato dal malware per eseguire comandi nascosti o non autorizzati.
  • Payload: un payload è la parte dannosa di un attacco informatico, come un virus o uno spyware, veicolata tramite email o file malevoli quando una vittima interagisce con essi.
  • Persistenza: la persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.
  • TCC (Transparency, Consent, and Control): TCC è il sistema macOS di Apple che gestisce i permessi delle app e la privacy dei dati dell’utente, richiedendo il consenso dell’utente per l’accesso a informazioni sensibili.
North Korea Cybersecurity Social Engineering
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news