Por Dentro do Lazarus: Como a Coreia do Norte usa IA para industrializar ataques a desenvolvedores

A Expel rastreou o HexagonalRodent (Expel-TA-0001), um subgrupo da Coreia do Norte, avaliado com confiança média-alta como parte do Famous Chollima, que realiza engenharia social contra desenvolvedores Web3 por meio de abordagens falsas de recrutadores e anúncios de emprego de empresas de fachada. O grupo envia avaliações de código com backdoor que executam BeaverTail e OtterCookie (NodeJS), além de InvisibleFerret (Python), explorando o arquivo tasks.json do VSCode com runOn:"folderOpen" ou por execução em runtime. Isso resultou na exfiltração de 26.584 carteiras, totalizando até US$ 12 milhões, de 2.726 sistemas de desenvolvedores no 1º trimestre de 2026. O toolkit do grupo se mistura à atividade legítima de desenvolvedores através de obfuscator.io e interpretadores Node/Python, os quais os EDRs inspecionam de forma deficiente. Utiliza um C2 persistente via WebSocket para servidores como 195.201.104[.]53 (ligado ao comprometimento da cadeia de suprimentos de extensão VSX de rascunho rápido) e conta com forte assistência de GenAI de Cursor e ChatGPT para loaders codificados para parecerem legítimos, painéis de keylogger e sites de empresas de fachada gerados por IA, construídos com Anima. Defensores devem procurar por processos Node ou Python mantendo sessões TCP persistentes para IPs suspeitos (netstat -an | grep 195.201.104.53), abrir avaliações de código apenas em VMs descartáveis com a confiança de workspace do VSCode aplicada e tarefas automáticas desativadas, auditar qualquer tasks.json enviado e exigir tokens de segurança de hardware para carteiras de cripto de alto valor para neutralizar a exfiltração de credenciais.