Dentro do ecossistema de desenvolvedores falsos da Coreia do Norte

Em 2024, tornou-se conhecido que especialistas em TI da Coreia do Norte estavam conseguindo empregos em empresas em todo o mundo (nos EUA, China, Rússia e outros lugares) sob identidades falsas — tanto para ciberespionagem quanto para canalizar ganhos de volta para casa.

Uma nova investigação da Group-IB mostra que este não é um conjunto de atores isolados, mas sim um ecossistema operacional totalmente desenvolvido.

✍️ Os mesmos repositórios do GitHub, endereços de e-mail, portfólios e currículos foram reutilizados para múltiplos "candidatos". Tais modelos pré-fabricados permitem aos operadores escalar a criação e gestão de identidades falsas. ✍️ Analistas também descobriram uma infraestrutura de suporte centralizada para o processo de contratação: respostas pré-escritas para candidaturas a empregos, modelos de resposta de empregadores e guias de entrevista. A IA também fazia parte do conjunto de ferramentas: o ChatGPT foi usado para fazer com que as respostas em inglês soassem mais naturais. ✍️ Investigadores também identificaram conexões com tentativas anteriores de comprar contas verificadas do Upwork (uma plataforma de freelance) em 2021. Os materiais dos atacantes também mencionavam outras plataformas legítimas como LinkedIn e Freelancer. Usar plataformas bem conhecidas aumenta a confiança nesses "candidatos" e aumenta suas chances de serem contratados.

A mudança para o trabalho remoto — sem revisar os procedimentos de contratação — contribuiu muito para a propagação deste esquema. Mostra que o acesso inicial à infraestrutura corporativa nem sempre é obtido através da exploração de vulnerabilidades ou phishing; também pode vir por meios aparentemente legítimos. Neste contexto, é crucial aumentar a conscientização sobre ameaças não apenas entre a equipe técnica, mas também dentro das equipes de RH que interagem com os candidatos.