Colloqui di lavoro letali: l’arte di infettare i computer mentre si finge di fare un colloquio

Da oltre un anno, il gruppo nordcoreano PurpleBravo conduce una campagna malware mirata denominata “Contagious Interview “, utilizzando falsi colloqui di lavoro per attaccare aziende in Europa, Asia, Medio Oriente e America Centrale.

I ricercatori di Recorded Future hanno identificato 3.136 indirizzi IP sospettati di essere collegati a questa operazione, nonché 20 organizzazioni prese di mira. Tra queste, aziende nei settori dell’intelligenza artificiale, delle criptovalute, della finanza, dei servizi IT, del marketing e dello sviluppo software.

Gli attacchi sono stati effettuati tra agosto 2024 e settembre 2025. La maggior parte degli indirizzi IP presi di mira si trova in Asia meridionale e Nord America. Le aziende colpite si trovavano in Belgio, Bulgaria, India, Italia, Costa Rica, Paesi Bassi, Emirati Arabi Uniti, Pakistan, Romania e Vietnam.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli autori del rapporto sottolineano che in alcuni casi il codice dannoso è stato eseguito direttamente sui dispositivi aziendali, estendendo il rischio non solo al singolo utente, ma all’intera organizzazione.

Uno dei meccanismi di infezione era la sostituzione di progetto in Visual Studio Code. Agli utenti venivano offerti task contenenti file dannosi mascherati da progetti funzionanti. Ciò consentiva agli aggressori di installare backdoor e ottenere l’accesso all’infrastruttura aziendale.

Sono stati scoperti anche falsi profili LinkedIn appartenenti a membri di PurpleBravo. Si spacciavano per sviluppatori e reclutatori con sede a Odessa e utilizzavano diversi repository GitHub per distribuire codice dannoso .

Il team di PurpleBravo gestisce almeno due set di server di comando e controllo per diversi tipi di malware. Uno è un infostealer JavaScript chiamato BeaverTail, e l’altro è una backdoor GolangGhost, scritta in Go e basata sul progetto open source HackBrowserData. I server sono ospitati da 17 diversi provider, amministrati tramite il servizio VPN Astrill e utilizzano indirizzi IP situati in Cina.

Parallelamente a Contagious Interview, è attiva un’altra operazione, denominata Wagemole. Questo schema prevede che dipendenti nordcoreani vengano reclutati da aziende straniere, nascondendone le origini. Nonostante le differenze, sono state documentate somiglianze nelle infrastrutture e nelle tattiche tra le due reti. Ci sono stati casi in cui lo stesso indirizzo IP associato a PurpleBravo è stato utilizzato anche per gestire attività legate a Wagemole.

Una delle principali vulnerabilità sfruttate da PurpleBravo è la fiducia delle aziende nei confronti di collaboratori e candidati esterni.

Gli aggressori inviano compiti presumibilmente per una valutazione tecnica e i candidati, ignari della minaccia, eseguono codice dannoso sui dispositivi assegnati. Questo schema compromette non solo i singoli utenti, ma l’intera organizzazione. Le aziende con un’ampia base clienti sono particolarmente vulnerabili, creando gravi rischi per la supply chain del software.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.