Engenharia Reversa de um Ataque à Cadeia de Suprimentos Estilo Coreia do Norte Entregue via Falsa Entrevista de Emprego Web3

Um desenvolvedor realizou a engenharia reversa de um ataque à cadeia de suprimentos de três fases, disfarçado como uma falsa entrevista de emprego Web3 para a 0G Labs. O repositório clonado utilizava um npm prepare hook para acionar uma nova primitiva RCE `Function("require", ...)`, que buscava payloads de segunda fase de um loader Vercel. A análise em uma VM isolada revelou que o implante se comunicava a cada 5 segundos com um IP baseado no Texas (216.250.249.176:1224), exfiltrando variáveis de ambiente, nomes de host e endereços MAC sob o ID de campanha `tid=Y3Jhc2ggdGhlIGJhZCBndXlz`. Essa infraestrutura replica o playbook Contagious Interview atribuído à Coreia do Norte. As recomendações incluem configurar `ignore-scripts` para `true`, auditar repositórios em busca de funções Node.js sensíveis, usar VMs descartáveis e verificar recrutadores por meio de sites oficiais da empresa.