Uma "entrevista dos sonhos", como fazer seu carteira ficar zerada?

Imagine que és um desenvolvedor Web3 com boas competências técnicas. Um dia, no LinkedIn, de repente, alguém te contacta (parece) de uma grande empresa, oferecendo um “emprego de sonho” que não podes recusar.

A outra parte é muito entusiasta e rapidamente envia um ficheiro zip, dizendo que é uma “biblioteca de código para entrevista”. Não pensas duas vezes, digitaste com destreza o comando npm install, preparado para mostrar o teu talento.

No momento em que pressionas Enter, foste “infectado”.

As tuas credenciais de login, dados do navegador, até a chave privada da carteira criptográfica estão a ser silenciosamente empacotados e enviados para um servidor desconhecido. O trabalho está perdido, e tu acabaste por te tornar numa “caixa de levantamento de fundos” de alguém (e esse alguém é um hacker de nível estatal).

Isto não é um filme, é uma situação real que está a acontecer.

Este ataque chama-se “Entrevista Contagiosa” (Contagious Interview). O relatório mais recente de uma empresa de segurança revela que já foram carregados mais de 300 pacotes de código malicioso na plataforma npm — que é considerada a “pedra angular da internet moderna”.

E o cérebro por trás, aponta para a Coreia do Norte.

Certamente, todos se perguntam: outra vez eles? Como é que um país que parece estar sob forte bloqueio consegue criar uma das maiores equipes de hackers do mundo?

O Lego “infectado”: Quão severo é este ataque?

Para entender a gravidade, primeiro tens de saber o que é o npm.

Simplificando, é como um enorme “estoque de blocos de Lego digitais”. Programadores de todo o mundo evitam reinventar a roda e preferem procurar no npm “blocos de construção” (pacotes de código) já existentes para montar os seus projetos.

E o “Entrevista Contagiosa” é exatamente uma tarefa suja de envenenar esses “blocos de Lego” na “fábrica de Lego”.

Os atacantes disfarçam-se de ferramentas populares como express, dotenv, e carregam mais de 300 pacotes tóxicos. Desenvolvedores, especialmente os que trabalham com Web3 e criptomoedas, ao usarem esses “blocos de Lego” “infectados” na “entrevista”, ativam malware imediatamente, roubando tudo.

Qual é o mais assustador?

Estes “blocos de Lego” tóxicos podem ser usados em inúmeras aplicações e projetos, propagando-se de forma invisível. Apesar de o GitHub (empresa-mãe do npm) estar a tentar apagar, os investigadores dizem que é como um jogo de “gato e rato”: apagam uma leva, aparecem mais, e não conseguem acompanhar.

Este ataque é preciso, paciente e altamente engenhoso. E essa “paciência” é exatamente o que mais assusta os hackers norte-coreanos.

Segredo: Por que é que o grupo de hackers da Coreia do Norte é tão “invencível”?

Enquanto outros hackers ainda exibem técnicas, fazem espionagem ou ganham algum dinheiro extra, o objetivo dos hackers norte-coreanos é muito puro: ganhar dinheiro. E, mais ainda, para o país.

Eles não são “hackers”, são “soldados cibernéticos” e “bandidos financeiros” que trabalham para o Estado. A sua “invencibilidade” vem de três fatores principais:

1. Motivação extrema: isto é “negócio de Estado”, para financiar armas nucleares

Esta é a chave para entenderem.

Devido às sanções rigorosas ao longo dos anos, a Coreia do Norte quase não tem receitas em divisas estrangeiras. Para manter a sua operação, especialmente os programas nucleares e de mísseis, o espaço cibernético tornou-se o seu “campo de arrecadação de fundos”.

Segundo relatórios da ONU, hackers norte-coreanos roubaram, nos últimos anos, ativos superiores a 30 mil milhões de dólares através de ataques cibernéticos. Exatamente, 30 mil milhões de dólares.

Um relatório até indica que essas receitas ilegais sustentaram cerca de 40% do financiamento do seu “grande arsenal”.

Pensa bem: quando o KPI de um hacker é “fazer dinheiro para o país” para financiar mísseis, a motivação, disciplina e capacidade de combate são de uma escala completamente diferente dos hackers que atuam sozinhos.

2. Seleção rigorosa: uma “academia de talentos” de nível estatal

Os hackers norte-coreanos não são “rapazes de internet” que aprenderam sozinhos em cafés de internet. São “armas de talento” treinadas sob a vontade do Estado.

Este processo de seleção começa na juventude. Encontram os jovens com maior talento em matemática e informática em todo o país e enviam-nos para universidades de topo, como a Universidade de Computação de Pyongyang.

Lá, recebem uma educação de elite, intensiva e militarizada, durante vários anos.

Após a graduação, os melhores são enviados para uma instituição assustadora — a Agência de Reconhecimento da Coreia (RGB). Sob ela, operam unidades de elite como o “Grupo Lazarus” e a “Divisão 121”. Têm milhares de “soldados cibernéticos” dedicados, considerados ativos de valor inestimável.

3. Tática surpreendente: paciência, compreensão psicológica e rapidez de aprendizagem

A “Entrevista Contagiosa” mostra claramente as suas táticas.

Primeiro, uma paciência extrema. Podem gastar meses a criar uma conta de LinkedIn perfeita, conversar contigo, criar confiança, tudo para no momento certo “fechar o cerco”.

Depois, dominam a psicologia (ou engenharia social). Aproveitam a vontade do desenvolvedor de conseguir um bom emprego. Quem faz uma entrevista assim, dificilmente verifica com atenção o código enviado pelo “entrevistador”. Aproveitam essa complacência.

Por último, uma velocidade de iteração impressionante. São os hackers mais precoces a mudar o foco de bancos tradicionais (como o roubo ao Banco Central de Bangladesh em 2016) para criptomoedas (como o roubo de 6,25 mil milhões de dólares na Axie Infinity em 2022). Trabalham com Web3, DeFi, pontes cross-chain, com maestria.

Quando “código aberto” se torna “arma”: o que devemos fazer?

Este “Entrevista Contagiosa” é um alerta para todos.

Aproveita exatamente a maior vantagem do ecossistema open source — a abertura. Antes, todos podiam subir código para inovar; agora, virou o solo perfeito para os atacantes espalharem “vírus”.

Mesmo que não sejas programador, não podes escapar. Pensa bem: todos os apps que usas diariamente são feitos com esses códigos. A “contaminação” na origem, inevitavelmente, chega ao usuário final.

Para desenvolvedores e empresas, o alarme já está disparado. Cada comando npm install deve ser tratado como uma operação de alto risco, como desarmar uma bomba.

Este jogo de “gato e rato” certamente continuará. Desde que o “modelo de negócio” do Estado norte-coreano permaneça, a caça às criptomoedas e Web3 por parte do seu “exército” de hackers não vai parar. **$LAYER **