O Lazarus Group, um grupo de cibercriminosos associado à Coreia do Norte, intensificou sua atuação com a Operação 99, uma nova campanha maliciosa que tem como alvo desenvolvedores Web3 e de criptomoedas. Utilizando perfis falsos no LinkedIn, eles enganam profissionais com propostas de trabalho freelancer para inserir malware em seus sistemas.
Hackers usam LinkedIn para atacar desenvolvedores Web3
A abordagem começa com falsos recrutadores que, posando como empresas legítimas no LinkedIn, atraem vítimas para realizar testes de projetos e revisões de código. Após estabelecer contato, os desenvolvedores são levados a clonar um repositório GitLab aparentemente inofensivo, mas que contém códigos que conectam os sistemas das vítimas a servidores de comando e controle (C2).
Uma vez no ambiente da vítima, o malware rouba informações sensíveis, como código-fonte, chaves de carteiras digitais e outros dados confidenciais. Entre as ferramentas utilizadas estão variantes como Main5346, Payload99/73 e MCLIP, projetadas para exfiltrar dados, monitorar atividades e roubar credenciais.
Alvos globais e impactos
A campanha foi detectada em 9 de janeiro de 2025 e já afetou vítimas em várias partes do mundo. Embora a maior concentração de ataques tenha sido registrada na Itália, países como Brasil, França, Índia e Estados Unidos também foram impactados.
O objetivo principal dos invasores é roubar propriedade intelectual e carteiras digitais, resultando em prejuízos financeiros milionários. Além disso, os ataques visam comprometer a segurança de projetos de desenvolvimento, permitindo que os hackers monetizem os dados roubados.
Ferramentas de ataque sofisticadas
O malware usado pelo Lazarus Group é altamente adaptável, com um design modular que o torna funcional em sistemas Windows, macOS e Linux. Essa flexibilidade reflete a constante evolução das estratégias de cibercrime patrocinadas por estados-nação, como a Coreia do Norte, que utiliza o hacking como fonte de receita.
Prevenção e cuidados
Para se proteger, desenvolvedores e empresas devem estar atentos a contatos suspeitos no LinkedIn e evitar interagir com repositórios desconhecidos. Adotar medidas como autenticação multifator, auditorias regulares de código e monitoramento de atividades em redes e sistemas é essencial para reduzir os riscos.
Com a crescente expansão do mercado Web3 e das criptomoedas, ataques como a Operação 99 evidenciam a necessidade de reforçar a segurança cibernética em todos os níveis.