O grupo hacker Lazarus, vinculado à Coreia do Norte, está conduzindo uma nova campanha maliciosa que visa roubar criptomoedas por meio de um malware em JavaScript. Segundo a Bitdefender, os ataques começam com falsas ofertas de emprego no LinkedIn para os setores de criptomoedas e turismo, prometendo trabalho remoto e salários atraentes. Os cibercriminosos iniciam contato pedindo informações como currículos ou links para repositórios GitHub das vítimas, o que confere credibilidade à abordagem. Na etapa seguinte, os alvos recebem um link para um repositório GitHub ou Bitbucket que supostamente contém um projeto descentralizado de troca de criptomoedas (DEX). No código do projeto, há um script ofuscado projetado para baixar um stealer em JavaScript, que coleta dados de extensões de carteiras cripto nos navegadores das vítimas.
Além do roubo de credenciais, o malware também atua como um loader para baixar um backdoor baseado em Python, capaz de monitorar a área de transferência, manter acesso remoto persistente e instalar outros malwares. A análise da Bitdefender sugere que essa campanha faz parte do cluster de ataques conhecido como Contagious Interview. Os hackers utilizam uma cadeia de infecção sofisticada, combinando scripts em várias linguagens, incluindo Python, JavaScript e .NET. O malware pode desativar ferramentas de segurança, instalar servidores proxy Tor e até lançar mineradores de criptomoedas.
Relatos no LinkedIn e no Reddit indicam que a campanha está se espalhando, com pequenas variações na abordagem. Em algumas versões, os candidatos são instruídos a clonar e executar repositórios Web3; em outras, são solicitados a corrigir erros propositais no código. Um dos repositórios usados, chamado “miketoken_v2”, já foi removido. O alerta surge logo após a SentinelOne revelar que o grupo também está distribuindo outra ameaça, chamada FlexibleFerret, por meio da mesma estratégia. Esse caso reforça a crescente sofisticação das operações do Lazarus, que continua aprimorando suas táticas para roubo de criptomoedas e espionagem digital.
