# GhostHire Campaign 2025 > [!high] BlueNoroff Usa Recrutamentos Falsos para Roubar Criptomoedas > A campanha **GhostHire** e uma operação ativa do **BlueNoroff** (subgrupo do Lazarus Group) descoberta em outubro de 2025, visando desenvolvedores Web3 e de blockchain com ofertas de emprego falsas via Telegram e GitHub. O grupo entrega os malwares **DownTroy**, **CosmicDoor** e **RooTroy** em assessments tecnicos falsos, com objetivo final de roubo de criptomoedas e credenciais de carteiras digitais. ## Visão Geral O [[g0124-bluenoroff]] e o subgrupo financeiramente focado do [[g0032-lazarus-group]] - a operação ciber norte-coreana supervisionada pelo Reconnaissance General Bureau (RGB). Enquanto o Lazarus conduz espionagem e sabotagem, o BlueNoroff foi estabelecido específicamente para gerar receita em divisas para o regime de Pyongyang, com foco em ataques contra exchanges de criptomoedas, plataformas DeFi e individuos com grandes holdings de criptoativos. A campanha GhostHire e uma evolução das operações SnatchCrypto e TraderTraitor documentadas em anos anteriores. O modelo operacional e consistente: criação de perfis falsos convincentes de recrutadores em plataformas profissionais (LinkedIn, Telegram) e repositorios de código (GitHub), seguida de abordagem de desenvolvedores Web3 com oportunidades de emprego de alta remuneracao. O alvo demografico e preciso: desenvolvedores de smart contracts em Solidity, engenheiros de blockchain (Ethereum, Solana), desenvolvedores de plataformas DeFi e profissionais de segurança em cripto. Esses profissionais tendem a ter carteiras de criptomoedas pessoais significativas, alem de acesso a sistemas de producao de exchange e DeFi. O mecanismo de infecção envolve "assessments tecnicos" enviados via repositorios GitHub privados contendo código malicioso embutido em projetos aparentemente legitimos de Node.js ou Python. Ao executar o código para completar o "teste" de selecao, o candidato instala inadvertidamente o malware DownTroy, que serve como loader para os payloads CosmicDoor (backdoor macOS) e RooTroy (backdoor Windows). A Kaspersky documentou a campanha em outubro de 2025 como parte de análise abrangente de atividades BlueNoroff, conectando-a a infraestrutura C2 previamente associada a ataques contra exchanges no Japao e Cingapura. ## Attack Flow ```mermaid graph TB A["🎭 Perfil Falso de Recrutador<br/>LinkedIn/Telegram convincente<br/>Empresa cripto ficticia"] --> B["💬 Abordagem do Alvo<br/>Desenvolvedor Web3/blockchain<br/>Oferta de alto salario"] B --> C["📦 Assessment Tecnico<br/>Repositorio GitHub privado<br/>Projeto Node.js/Python legítimo"] C --> D["💧 Execução do Projeto<br/>npm install / python run<br/>Malware DownTroy instalado"] D --> E["🔗 C2 Estabelecido<br/>DownTroy - loader inicial<br/>Conecta ao servidor"] E --> F["💉 Deploy CosmicDoor/RooTroy<br/>Backdoor completo instalado<br/>Windows ou macOS"] F --> G["💰 Objetivo Final<br/>Roubo de carteiras cripto<br/>Credenciais de exchange"] ``` ### Arsenal BlueNoroff - GhostHire ```mermaid graph TB A["BlueNoroff Arsenal 2025"] --> B["DownTroy<br/>Loader cross-platform<br/>Node.js malicioso"] A --> C["CosmicDoor<br/>Backdoor macOS<br/>Acesso persistente"] A --> D["RooTroy<br/>Backdoor Windows<br/>Versao macOS incluida"] B --> E["Funcoes DownTroy<br/>Download payload<br/>Identifica OS/carteiras<br/>Beacons para C2"] C --> F["Funcoes CosmicDoor<br/>Terminal remoto<br/>Exfiltração arquivos<br/>Persistência LaunchAgent"] D --> G["Funcoes RooTroy<br/>Keylogging<br/>Screenshot periodico<br/>Roubo de browser cookies"] ``` ## Cronologia | Data | Evento | |------|--------| | 2025-09 | Primeiras abordagens de recrutamento GhostHire identificadas em plataformas cripto | | 2025-10 | Kaspersky identifica malware DownTroy/CosmicDoor/RooTroy em amostras analisadas | | 2025-10-15 | Kaspersky pública relatorio conectando campanha ao BlueNoroff via infraestrutura C2 | | 2025-11 | GitHub reporta remoção de repositorios maliciosos associados a campanha | | 2025-Q4 | Campanha considerada ainda ativa com novos perfis de recrutadores falsos identificados | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Abordagem via LinkedIn/Telegram com oportunidade de emprego falsa | | [[t1204-user-execution\|T1204]] | User Execution | Desenvolvedor executa projeto do GitHub voluntariamente | | [[t1059-command-scripting-interpreter\|T1059]] | Command Scripting | Node.js e Python como vetores de execução do DownTroy | | [[t1195-supply-chain-compromise\|T1195]] | Supply Chain | Código malicioso embutido em projetos de software aparentemente legitimos | | [[t1555-credentials-from-stores\|T1555]] | Credentials from Stores | Roubo de credenciais salvas em browsers e carteiras cripto | | [[t1547-boot-autostart\|T1547]] | Boot/Autostart | CosmicDoor persiste via LaunchAgent no macOS | | [[t1496-resource-hijacking\|T1496]] | Resource Hijacking | Acesso nao-autorizado a carteiras e exchanges do desenvolvedor | ## Vitimas e Alvos O [[g0124-bluenoroff]] demonstrou targeting preciso no ecossistema Web3: - **Desenvolvedores Solidity/EVM**: Engenheiros de smart contracts com holdings em ETH/tokens - **Desenvolvedores de plataformas DeFi**: Profissionais com acesso a contratos de valor elevado - **Engenheiros de exchanges**: Funcionarios tecnico de exchanges com acesso a sistemas criticos - **Pesquisadores de segurança cripto**: Auditores de smart contracts e especialistas em blockchain security - **Profissionais de NFT e GameFi**: Desenvolvedores de projetos com ativos digitais de alto valor ## Relevância LATAM > [!latam] Impacto para Brasil e LATAM > O Brasil e o maior mercado de criptomoedas da América Latina, com estimativa de 10-15 milhões de holders de ativos digitais e um ecossistema crescente de startups e desenvolvedores Web3. O modelo GhostHire do BlueNoroff **já tem alcance direto na regiao**: desenvolvedores brasileiros e argentinos de blockchain estao ativos nas mesmas plataformas de recrutamento cripto globais (CryptoJobsList, Web3.career, LinkedIn). O Lazarus Group já conduziu ataques contra exchanges brasileiras e plataformas P2P de criptomoedas na regiao em campanhas anteriores como [[bybit-heist-2025]]. - Comunidade brasileira de desenvolvedores Web3 e alvo potencial imediato da campanha GhostHire - Startups brasileiras de DeFi e NFT com desenvolvedores no mercado global sao vetores de risco - A prevalencia de trabalho remoto no setor cripto facilita o contato de recrutadores fictícios internacionais com desenvolvedores brasileiros ## Mitigação e Detecção - **Verificação independente de recrutadores**: Confirmar identidade e empresa via canais oficiais antes de executar qualquer código enviado - **Ambiente isolado para assessments**: Executar todos os "testes" de emprego em VMs descartaveis ou containers isolados sem acesso a carteiras cripto - **Auditoria de código antes de execução**: Revisar o conteudo de package.json, requirements.txt e scripts antes de instalar dependências - **Monitoramento de LaunchAgents/Startup items** em endpoints macOS para detectar CosmicDoor - **EDR com detecção de comportamento NodeJS/Python suspeito**: Processos Node fazendo requisicoes HTTP incomuns - Aplicar [[m1049-antivirus-endpoint-protection]] e [[m1022-restrict-file-and-directory-permissions]] ## Referências - [Kaspersky - BlueNoroff GhostHire Analysis (Out 2025)](https://securelist.com/bluenoroff-ghosthire-campaign/109456/) - [MITRE ATT&CK - BlueNoroff](https://attack.mitre.org/groups/G0098/) - [CISA - North Korean Cyber Actors Targeting Crypto](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-108a)