g1052-contagious-interview

# Contagious Interview (DeceptiveDevelopment) > [!danger] Ameaça a Desenvolvedores de Software e Cripto > O Contagious Interview e um subgrupo do [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) especializado em engenharia social sofisticada contra desenvolvedores. Em 2025, criou tres empresas de cripto **falsas** para recrutar vitimas, com malware confirmado ativo até marco 2025. ## Visão Geral O **Contagious Interview** (rastreado pela ESET como DeceptiveDevelopment, pela Unit42 como CL-STA-0240, e por outros como Famous Chollima) e um ator norcoreano ativo desde pelo menos dezembro de 2022. O grupo e considerado um subgrupo do notório [[g0032-lazarus-group|Lazarus Group]], com operações atribuidas ao Bureao de Reconhecimento Geral (RGB) da RPDC. Sua estratégia e única: **fingi ser recrutador de tecnologia** e convencer desenvolvedores de software e profissionais de cripto a instalarem malware sob a aparencia de um teste de código para entrevista de emprego. Em 2025, o grupo escalou para criar **empresas de fachada inteiras** - BlockNovas LLC, Angeloper Agency e SoftGlide LLC - com perfis falsos de funcionarios gerados por IA. O objetivo e duplo: **roubo financeiro** (carteiras crypto, chaves privadas) e **espionagem** (acesso a sistemas corporativos via desenvolvedor comprometido, risco de supply chain como o incidente 3CX). ## Attack Flow - Fake Job Interview ```mermaid graph TB A["🎭 Identidade Falsa Recrutador em LinkedIn GitHub / Upwork / Freelancer"] --> B["🤝 Engenharia Social Proposta de emprego cripto Empresa BlockNovas / SoftGlide"] B --> C["📦 Repositorio Malicioso GitHub/Bitbucket npm Pacotes: dev-debugger-vite etc"] C --> D["🐦 BeaverTail JS Stealer Roubo de browser data 13 carteiras crypto alvo"] D --> E["🐍 InvisibleFerret Python Backdoor persistente Keylogging + AnyDesk"] E --> F["💰 Exfiltração Crypto Chaves privadas MetaMask / Sui Wallet"] E --> G["🏢 Pivô Corporativo Acesso rede empregador Supply chain risk"] ``` ## Arsenal de Malware | Malware | Linguagem | Funcoes Principais | |---------|----------|---------------------| | [[s1246-beavertail\|BeaverTail]] | JavaScript (Qt) | Infostealer + loader; roubo de 13 carteiras crypto; cross-platform Win/macOS | | [[s1245-invisibleferret\|InvisibleFerret]] | Python | Backdoor modular; keylogging; controle remoto; download AnyDesk | | [[ottercookie\|OtterCookie]] | JavaScript | Evolução do BeaverTail; roubo de crypto wallet keys | | [[weaselstore\|WeaselStore]] | Go/Python | GolangGhost/FlexibleFerret; exfiltração de browsers e carteiras | | [[tropidoor\|Tropidoor]] | Windows DLL | Backdoor Windows; código compartilhado com PostNapTea (Lazarus) | ## Plataformas Alvo O grupo e notavel pelo suporte **multi-plataforma** completo (Windows, macOS, Linux), tornando desenvolvedores independente de sistema operacional como alvo: - **npm registry** - Pacotes maliciosos (icloud-cod, dev-debugger-vite, events-utils) - **GitHub/Bitbucket** - Repositorios trojanizados para clonar durante entrevista - **Job boards** - CryptoJobsList, CryptoTask, Freelancer, Upwork, GetOnBrd - **Video calls** - ClickFix: "Ative a camera copiando este comando no terminal" ## Empresas de Fachada (2025) Em abril 2025, Silent Push revelou tres empresas falsas criadas pelo Contagious Interview: | Empresa | Dominio | Fachada | |---------|---------|---------| | BlockNovas LLC | blocknovas.com | Consultoria cripto - 14 "funcionarios" falsos com IA | | Angeloper Agency | angeloper.com | Agencia de recrutamento tech | | SoftGlide LLC | softglide.co | Desenvolvimento de software | Todas usando identidades roubadas ou geradas por IA, registradas com enderecos residenciais falsos. ## Relevância para o Brasil e LATAM > [!warning] Risco para Desenvolvedores Brasileiros de Cripto e Web3 > O mercado brasileiro de cripto e um dos maiores da América Latina. Desenvolvedores brasileiros em exchanges, DeFi, NFTs e Web3 sao alvos válidos para o Contagious Interview, que opera em plataformas globais como Upwork, LinkedIn e npm sem restricoes geograficas. Riscos específicos para o Brasil: 1. **Desenvolvedores de cripto e fintech** - BeaverTail ataca 13 extensoes de carteira crypto; desenvolvedores brasileiros em Mercado Bitcoin, Foxbit, Bitso, e startups DeFi sao alvos válidos 2. **Supply chain risk** - Um desenvolvedor comprometido em empresa brasileira pode expor a rede corporativa inteira (como o incidente 3CX em 2023, vinculado ao mesmo cluster DPRK) 3. **Freelancers** - A penetracao de plataformas como Upwork e Freelancer.com abrange profissionais brasileiros que trabalham com clientes internacionais 4. **Pacotes npm** - Desenvolvedores brasileiros que usam pacotes npm sem auditoria sao vulneraveis a cadeia de suprimentos maliciosa O grupo usa **AnyDesk para persistência** - ferramenta legitima que bloqueia em muitos ambientes corporativos mas e comum em setups de dev individuais. ## Detecção e Mitigação - Auditar dependências npm antes de instalar pacotes em projetos (`npm audit`, Snyk, Socket.dev) - Nunca executar código de repositorios desconhecidos em dispositivos corporativos - Monitorar conexoes a domínios como `lianxinxiao[.]com` (C2 BeaverTail confirmado) - Suspeitar de requisicoes de video call que pedem para "rodar um comando para ativar a camera" - Verificar autenticidade de empresas recrutadoras via registros corporativos antes de entrevistas técnicas - Implementar detecção de InvisibleFerret: processo Python iniciado por script npm + conexoes porto 1224/1244 ## Grupos Relacionados - [[g0032-lazarus-group|Lazarus Group]] - grupo pai; operações de roubo de cripto mais amplas - [[g1049-applejeus|AppleJeus]] - outro subgrupo Lazarus focado em cripto (3CX supply chain attack) - [[citrine-sleet|Citrine Sleet]] - outro ator DPRK com foco em criptomoedas ## Referências - [1](https://unit42.paloaltonetworks.com/north-korean-threat-actors-lure-tech-job-seekers-as-fake-recruiters/) Unit 42 - Contagious Interview Campaign (2024) - [2](https://www.silentpush.com/blog/contagious-interview-front-companies/) Silent Push - Contagious Interview Front Companies BlockNovas (2025) - [3](https://thehackernews.com/2025/04/north-korean-hackers-spread-malware-via.html) The Hacker News - North Korean Hackers Spread Malware via Fake Crypto Firms (2025) - [4](https://thehackernews.com/2025/04/north-korean-hackers-deploy-beavertail.html) The Hacker News - BeaverTail Malware via 11 Malicious npm Packages (2025) - [5](https://mirror.gpmidi.net/vx-underground/Malware%20Analysis/2025/2025-09-25%20-%20DeceptiveDevelopment%20From%20primitive%20crypto%20theft%20to%20sophisticated%20AI-based%20deception/Paper/) ESET - DeceptiveDevelopment: From Primitive Crypto Theft to AI-based Deception (2025)