Engenharia Reversa de um Ataque à Cadeia de Suprimentos Estilo Coreia do Norte Entregue via Falsa Entrevista de Emprego Web3

01 de maio de 2026

Resumo

Um desenvolvedor realizou a engenharia reversa de um ataque à cadeia de suprimentos de três fases, disfarçado como uma falsa entrevista de emprego Web3 para a 0G Labs. O repositório clonado utilizava um npm prepare hook para acionar uma nova primitiva RCE `Function("require", ...)`, que buscava payloads de segunda fase de um loader Vercel. A análise em uma VM isolada revelou que o implante se comunicava a cada 5 segundos com um IP baseado no Texas (216.250.249.176:1224), exfiltrando variáveis de ambiente, nomes de host e endereços MAC sob o ID de campanha `tid=Y3Jhc2ggdGhlIGJhZCBndXlz`. Essa infraestrutura replica o playbook Contagious Interview atribuído à Coreia do Norte. As recomendações incluem configurar `ignore-scripts` para `true`, auditar repositórios em busca de funções Node.js sensíveis, usar VMs descartáveis e verificar recrutadores por meio de sites oficiais da empresa.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 01 de maio de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?