Uma campanha maliciosa recentemente associada ao grupo norte-coreano Slow Pisces tem como alvo profissionais da área de criptomoedas, utilizando testes de codificação aparentemente legítimos como fachada para distribuir malwares sofisticados.
Desenvolvedores são alvos de malware Python oculto em testes de programação
Segundo análise da Unidade 42 da Palo Alto Networks, os cibercriminosos abordam desenvolvedores no LinkedIn, fingindo ser recrutadores interessados em suas habilidades. A armadilha envolve o envio de desafios de programação que, na realidade, contêm códigos maliciosos ocultos em projetos hospedados no GitHub.
Os malwares identificados nessa campanha foram denominados RN Loader e RN Stealer. O primeiro atua como um carregador inicial, transmitindo informações básicas sobre o sistema da vítima para um servidor remoto. Já o segundo, mais avançado, coleta dados confidenciais de dispositivos macOS, como metadados, senhas do iCloud, chaves SSH e configurações de serviços em nuvem como AWS, Kubernetes e Google Cloud.
Abordagem personalizada via LinkedIn
Ao contrário de campanhas massivas de phishing, o Slow Pisces foca em abordagens direcionadas, personalizando o contato com base no perfil das vítimas. Após o envio inicial de um PDF inofensivo com a suposta descrição da vaga, os alvos são incentivados a baixar projetos Python ou JavaScript com promessas de testes técnicos práticos.
Notícias Relacionadas
Ameaça digital
ResolverRAT: malware furtivo ameaça saúde e setor farmacêutico globalmente
Malware furtivo chamado ResolverRAT está atacando setores de saúde e farmacêutico globalmente com técnicas avançadas de evasão e exfiltração de dados.
Ameaça cibernética
Phishing inteligente usa verificação de e-mail em tempo real para ataques direcionados
Ataques de phishing estão mais sofisticados: novas campanhas validam e-mails das vítimas em tempo real para garantir que os dados roubados sejam legítimos e úteis para os cibercriminosos.
Esses repositórios, que aparentam ser ferramentas inofensivas como um painel de criptomoedas, são manipulados para executar código malicioso de forma oculta. A validação da vítima antes da entrega do payload principal é feita com base em variáveis como endereço IP, geolocalização e cabeçalhos HTTP — uma medida que torna a detecção ainda mais difícil.
Técnicas furtivas de execução
Para evitar a detecção por mecanismos de segurança, o grupo evita comandos óbvios como eval ou exec, optando por métodos como desserialização YAML e a utilização de modelos JavaScript EJS. Essas técnicas permitem que o código malicioso seja executado de maneira discreta e somente após o sistema ser validado pelo servidor de comando e controle (C2).
Histórico de ataques
Essa não é a primeira vez que o Slow Pisces, também conhecido como Jade Sleet ou TraderTraitor, lança ataques usando iscas relacionadas a empregos. Em campanhas anteriores, já haviam sido utilizados pacotes npm maliciosos para comprometer funcionários de empresas de blockchain, jogos online e segurança cibernética.
O grupo se diferencia de outros coletivos de hackers norte-coreanos como o Operation Dream Job ou o Contagious Interview, por aplicar camadas adicionais de proteção em cada fase do ataque, mantendo o malware apenas na memória e implantando cargas maliciosas adicionais apenas quando absolutamente necessário.
