Um ataque massivo de espionagem cibernética liderado pelo Lazarus Group, vinculado ao governo da Coreia do Norte, comprometeu centenas de vítimas ao redor do mundo. A campanha, batizada de Phantom Circuit, utilizou uma abordagem sofisticada: forks de projetos open source legítimos foram alterados para incluir backdoors, permitindo o roubo de credenciais, tokens de autenticação e outras informações sensíveis.

A estratégia do grupo envolveu a criação de versões modificadas de softwares legítimos e sua distribuição em plataformas como GitLab, visando principalmente desenvolvedores da indústria de criptomoedas. Segundo os pesquisadores da SecurityScorecard, que descobriram o ataque, essa tática tem permitido aos cibercriminosos infiltrar-se em redes corporativas e comprometer sistemas inteiros sem que as vítimas percebam. O ataque ocorreu em três grandes ondas.

Em novembro, 181 desenvolvedores foram alvos, a maioria no setor de tecnologia na Europa. Em dezembro, a campanha se expandiu para 1.225 vítimas, incluindo 284 na Índia e 21 no Brasil. Em janeiro, o grupo adicionou 233 novos alvos, sendo 110 apenas na Índia. Os hackers usaram essa técnica para espalhar malware em diversos repositórios populares, incluindo ferramentas como Codementor, CoinProperty, Web3 E-Store e um gerenciador de senhas em Python, além de outros aplicativos voltados para segurança, criptografia e tecnologias Web3.