Hackers norte-coreanos estão disseminando o malware FERRET por meio de entrevistas de emprego falsas, visando usuários de macOS. A campanha, chamada Contagious Interview, engana vítimas ao solicitar a instalação de softwares falsos, como “VCam” ou “CameraAccess”, para videochamadas. Ao instalar esses programas, o usuário executa malwares que roubam dados de navegadores e carteiras de criptomoedas.

O ataque utiliza o código BeaverTail, que pode instalar um backdoor Python chamado InvisibleFerret. Outra variante, OtterCookie, foi descoberta pela empresa NTT Security Holdings. Os hackers usam táticas sofisticadas para evitar detecção, incluindo o método ClickFix, que faz a vítima copiar e executar comandos maliciosos no Terminal do macOS. A abordagem começa no LinkedIn, onde os criminosos se passam por recrutadores e convencem os alvos a realizar um teste técnico em vídeo. Além disso, pesquisadores da SentinelOne identificaram novos módulos do malware, como FRIENDLYFERRET, FROSTYFERRET_UI e FlexibleFerret, este último garantindo a persistência do vírus no sistema.

Os ataques se diversificaram e agora utilizam repositórios falsos no GitHub e bibliotecas npm comprometidas, como a postcss-optimizer, que ainda está disponível para download. O grupo APT37 (ScarCruft), também da Coreia do Norte, tem usado documentos maliciosos para espalhar o malware RokRAT em plataformas de chat. Pesquisadores alertam que a ameaça pode atingir não apenas candidatos a emprego, mas também desenvolvedores e profissionais de tecnologia em geral.