Netcrook Logo
👤 LOGICFALCON
🗓️ 27 Feb 2026   🌍 Asia

“Colloquio di lavoro” o trappola? Hacker nordcoreani prendono di mira gli sviluppatori con attacchi di codice furtivi

Falsi repo di lavoro Next.js attirano gli sviluppatori inducendoli a eseguire malware in memoria, esponendo codice sensibile e credenziali.

Immagina questa scena: sei uno sviluppatore, in cerca del prossimo ingaggio. Apri un repository di progetto che sembra promettente, magari inviato come parte di un colloquio tecnico. Ma con un solo clic hai appena consegnato a un sofisticato avversario informatico - potenzialmente sostenuto dalla Corea del Nord - le chiavi della tua macchina, del tuo codice e delle tue credenziali. Benvenuto nel nuovo e insidioso mondo delle campagne malware mirate agli sviluppatori.

Il team di sicurezza di Microsoft ha recentemente lanciato l’allarme su una “campagna coordinata mirata agli sviluppatori” che sta trasformando in arma il processo di ricerca del lavoro. Gli attaccanti stanno disseminando repository trappola - camuffati da legittimi progetti Next.js - su piattaforme considerate affidabili. Non si tratta dei soliti messaggi di phishing: le minacce si integrano perfettamente nei flussi di lavoro quotidiani degli sviluppatori, sfruttandone fiducia e curiosità.

Il trucco tecnico è tanto ingegnoso quanto inquietante. Esistono almeno tre modalità distinte di attivazione del malware: semplicemente aprendo un workspace di Visual Studio Code (grazie all’automazione runOn: "folderOpen"), avviando il dev server (tramite script npm che nascondono librerie alterate), oppure avviando il server backend, che poi esfiltra dati dell’ambiente ed esegue codice recuperato da server remoti. In ogni caso, l’obiettivo è lo stesso: scaricare ed eseguire JavaScript malevolo direttamente in memoria, lasciando dietro di sé tracce minime.

L’indagine di Microsoft ha rilevato che questi payload non si limitano a raccogliere informazioni sull’host: effettuano periodicamente il check-in con server di comando e controllo, recuperano identificatori univoci e possono ricevere ulteriori istruzioni per intensificare gli attacchi. In particolare, i controller di seconda fase consentono agli attori della minaccia di mantenere la persistenza, adattarsi e persino ripulire le prove, se necessario. L’infrastruttura della campagna è sorprendentemente diversificata e sfrutta di tutto: da Vercel e GitHub Gists a Google Drive e perfino la blockchain Polygon (incorporando JavaScript in contratti NFT per maggiore resilienza).

Chi c’è dietro? Pur fermandosi prima di un’attribuzione diretta, Microsoft osserva che le tattiche rispecchiano da vicino operazioni nordcoreane note, in particolare la campagna “Contagious Interview”. Questi gruppi hanno trasformato il reclutamento di sviluppatori in un’arma informatica, usando falsi colloqui e prove tecniche per far passare il malware inosservato tra gli ignari. L’indagine parallela di GitLab ha portato alla luce dettagliati registri finanziari e del personale che collegano oltre 1,6 milioni di dollari di guadagni a cellule di lavoratori IT nordcoreani, operative con la disciplina e la portata di un’impresa multinazionale.

Con gli sviluppatori che spesso detengono le chiavi del codice sorgente, dei segreti e degli ambienti di produzione, la posta in gioco non potrebbe essere più alta. Microsoft e altre società di sicurezza invitano le organizzazioni a rafforzare i confini di fiducia, imporre un’autenticazione rigorosa e applicare il principio del minimo privilegio. In questo nuovo campo di battaglia, ogni repo potrebbe essere una trappola e ogni offerta di lavoro una potenziale violazione.

Man mano che il confine tra flusso di lavoro dello sviluppatore e guerra informatica si fa più sfumato, la vigilanza non è più facoltativa. Per i programmatori di oggi, il prossimo colloquio di lavoro potrebbe essere più pericoloso di quanto pensino.

WIKICROOK

  • In: Un sistema di pagamento in-app consente agli utenti di acquistare beni o servizi digitali direttamente all’interno di un’app, offrendo comodità e un maggiore controllo dei ricavi per gli sviluppatori.
  • Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo indirizza a eseguire azioni specifiche, talvolta per scopi malevoli.
  • VS Code tasks: Le attività di VS Code sono comandi automatizzati in Visual Studio Code, attivati da eventi o manualmente, per semplificare azioni di sviluppo ripetitive.
  • Credential hygiene: L’igiene delle credenziali è il processo continuo di aggiornamento e protezione di password e chiavi di accesso per prevenire accessi non autorizzati e migliorare la sicurezza.
  • Least privilege: Il minimo privilegio è un principio di sicurezza secondo cui utenti e programmi ottengono solo l’accesso minimo necessario per svolgere i propri compiti, riducendo i rischi di sicurezza.
North Korean hackers developer malware job interview trap
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news