Colloqui di lavoro letali: l’arte di infettare i computer mentre si finge di fare un colloquio

Da oltre un anno, il gruppo nordcoreano PurpleBravo conduce una campagna malware mirata denominata “Contagious Interview “, utilizzando falsi colloqui di lavoro per attaccare aziende in Europa, Asia, Medio Oriente e America Centrale.

I ricercatori di Recorded Future hanno identificato 3.136 indirizzi IP sospettati di essere collegati a questa operazione, nonché 20 organizzazioni prese di mira. Tra queste, aziende nei settori dell’intelligenza artificiale, delle criptovalute, della finanza, dei servizi IT, del marketing e dello sviluppo software.

Gli attacchi sono stati effettuati tra agosto 2024 e settembre 2025. La maggior parte degli indirizzi IP presi di mira si trova in Asia meridionale e Nord America. Le aziende colpite si trovavano in Belgio, Bulgaria, India, Italia, Costa Rica, Paesi Bassi, Emirati Arabi Uniti, Pakistan, Romania e Vietnam.

Gli autori del rapporto sottolineano che in alcuni casi il codice dannoso è stato eseguito direttamente sui dispositivi aziendali, estendendo il rischio non solo al singolo utente, ma all’intera organizzazione.

Uno dei meccanismi di infezione era la sostituzione di progetto in Visual Studio Code. Agli utenti venivano offerti task contenenti file dannosi mascherati da progetti funzionanti. Ciò consentiva agli aggressori di installare backdoor e ottenere l’accesso all’infrastruttura aziendale.

Sono stati scoperti anche falsi profili LinkedIn appartenenti a membri di PurpleBravo. Si spacciavano per sviluppatori e reclutatori con sede a Odessa e utilizzavano diversi repository GitHub per distribuire codice dannoso .

Il team di PurpleBravo gestisce almeno due set di server di comando e controllo per diversi tipi di malware. Uno è un infostealer JavaScript chiamato BeaverTail, e l’altro è una backdoor GolangGhost, scritta in Go e basata sul progetto open source HackBrowserData. I server sono ospitati da 17 diversi provider, amministrati tramite il servizio VPN Astrill e utilizzano indirizzi IP situati in Cina.

Parallelamente a Contagious Interview, è attiva un’altra operazione, denominata Wagemole. Questo schema prevede che dipendenti nordcoreani vengano reclutati da aziende straniere, nascondendone le origini. Nonostante le differenze, sono state documentate somiglianze nelle infrastrutture e nelle tattiche tra le due reti. Ci sono stati casi in cui lo stesso indirizzo IP associato a PurpleBravo è stato utilizzato anche per gestire attività legate a Wagemole.

Una delle principali vulnerabilità sfruttate da PurpleBravo è la fiducia delle aziende nei confronti di collaboratori e candidati esterni.

Gli aggressori inviano compiti presumibilmente per una valutazione tecnica e i candidati, ignari della minaccia, eseguono codice dannoso sui dispositivi assegnati. Questo schema compromette non solo i singoli utenti, ma l’intera organizzazione. Le aziende con un’ampia base clienti sono particolarmente vulnerabili, creando gravi rischi per la supply chain del software.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore