Hackers norte-coreanos estão disseminando malwares ao se passarem por empresas de criptomoedas e simularem processos seletivos. Segundo análise da empresa de cibersegurança Silent Push, o grupo por trás da campanha “Contagious Interview” criou três empresas fictícias BlockNovas LLC, Angeloper Agency e SoftGlide LLC para atrair vítimas com falsas entrevistas de emprego e, assim, distribuir malwares como BeaverTail, InvisibleFerret e OtterCookie.

Esses ataques usam técnicas de engenharia social, como entrevistas por vídeo e tarefas de codificação, para enganar candidatos e infectar seus dispositivos. O BeaverTail inicia o ataque, sendo responsável por baixar o backdoor InvisibleFerret, que funciona em Windows, Linux e macOS. Algumas cadeias de infecção também distribuem o OtterCookie. As falsas empresas mantêm perfis enganosos em redes como LinkedIn, GitHub e Medium, e utilizam VPNs e ferramentas de IA para criar identidades falsas. Um dos sites, blocknovas[.]com, afirmava existir há mais de 12 anos, embora tenha sido registrado apenas recentemente.

A infraestrutura maliciosa também incluía um painel de controle hospedado em subdomínios e ferramentas como o Hashtopolis, voltadas à quebra de senhas. Em abril de 2025, o domínio BlockNovas foi apreendido pelo FBI. Há indícios de que esses hackers operem da China, Rússia e Paquistão, usando IPs russos ocultos por VPNs e proxies. A IA generativa também tem sido usada para automatizar e coordenar entrevistas falsas, em uma tentativa de infiltrar trabalhadores de TI norte-coreanos em empresas reais, com o objetivo de roubar dados e repassar salários ao regime da Coreia do Norte.