Netcrook Logo
👤 TRUSTBREAKER
🗓️ 14 Feb 2026   🌍 Asia

Cacciati i coder: hacker nordcoreani usano falsi test di assunzione per distribuire malware furtivo

Una nuova ondata di truffe di reclutamento ingannevoli prende di mira gli sviluppatori con prove di coding avvelenate, infettando i loro sistemi per rubare criptovalute.

Inizia come un’offerta di lavoro da sogno: un recruiter di una nuova e promettente azienda blockchain ti contatta, proponendoti un’entusiasmante posizione da sviluppatore. Il problema? Per andare avanti devi completare una prova di coding - una prova che potrebbe finire per costarti molto più del tuo tempo.

L’ultimo schema, portato alla luce dai ricercatori di ReversingLabs, è al tempo stesso insidioso e allarmantemente efficace. Attori di minaccia nordcoreani, ritenuti appartenere al famigerato gruppo Lazarus, stanno sfruttando le ambizioni degli sviluppatori software per compromettere i loro computer. Gli attaccanti creano aziende fittizie convincenti nei settori blockchain e crypto-trading, pubblicando annunci di lavoro allettanti su grandi piattaforme come LinkedIn, Facebook e Reddit.

Una volta che uno sviluppatore abbocca, gli viene chiesto di dimostrare le proprie competenze eseguendo e facendo debug di un progetto di coding. A sua insaputa, il progetto è truccato: contiene dipendenze - componenti software - provenienti da repository di pacchetti legittimi come npm e PyPi. Queste dipendenze, spesso camuffate da librerie popolari come “graphlib” o con nomi come “bigmathutils”, installano silenziosamente un trojan di accesso remoto (RAT) sulla macchina della vittima.

Ciò che rende questa campagna particolarmente pericolosa è la sua modularità e furtività. Gli attaccanti aggiornano e rinominano frequentemente i pacchetti, talvolta introducendo codice malevolo solo in versioni specifiche per poi rimuoverlo rapidamente, così da coprire le proprie tracce. L’uso di repository GitHub puliti e dall’aspetto legittimo riduce ulteriormente i sospetti, mentre il vero payload è nascosto nella ragnatela delle dipendenze.

Una volta installato, il RAT è in grado di eseguire comandi, rubare file e persino cercare estensioni di wallet di criptovalute come MetaMask - una chiara prova delle motivazioni finanziarie degli hacker. Il malware comunica con server di comando e controllo usando token di autenticazione, un tratto distintivo delle operazioni di hacking avanzate sponsorizzate da stati. Sono state osservate più varianti, scritte in JavaScript, Python e VBS, garantendo un’ampia diffusione nelle comunità di sviluppatori.

L’indagine di ReversingLabs ha rilevato che diversi sviluppatori reali erano già caduti vittima, con gli attaccanti che hanno mostrato un elevato grado di pazienza e sicurezza operativa - segni distintivi del gruppo Lazarus. Indizi rivelatori, come timestamp dei commit del codice che corrispondono all’ora nordcoreana e l’attenzione al furto di criptovalute, confermano ulteriormente l’attribuzione.

Agli sviluppatori che hanno interagito con prove di assunzione sospette o installato pacchetti sconosciuti viene raccomandato di ruotare tutte le credenziali, ripulire i sistemi e rimanere vigili. Nel mondo ad alta posta in gioco del cybercrimine, anche un’offerta di lavoro da sogno può trasformarsi in un incubo.

Man mano che il mercato del lavoro digitale diventa sempre più competitivo, il confine tra opportunità e minaccia si fa sfumato. Per gli sviluppatori, lo scetticismo non è solo salutare - è essenziale.

WIKICROOK

  • Trojan di accesso remoto (RAT): Un trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furti e attività di spionaggio.
  • Dipendenza: Una dipendenza è codice o software esterno su cui un progetto fa affidamento; se compromessa, può introdurre vulnerabilità in tutti i progetti che ne dipendono.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • PyPi/npm: PyPi e npm sono importanti repository per pacchetti Python e JavaScript, ampiamente usati dagli sviluppatori ma talvolta presi di mira per attacchi alla supply chain.
  • Lazarus Group: Lazarus Group è un team di hacking nordcoreano sponsorizzato dallo stato, noto per cyberattacchi globali e per il furto di denaro destinato a finanziare le attività del regime.
North Korean hackers malware cryptocurrency theft
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news